JP2016506107A - 仮想マシンのための管理制御方法、装置及びシステム - Google Patents

仮想マシンのための管理制御方法、装置及びシステム Download PDF

Info

Publication number
JP2016506107A
JP2016506107A JP2015543228A JP2015543228A JP2016506107A JP 2016506107 A JP2016506107 A JP 2016506107A JP 2015543228 A JP2015543228 A JP 2015543228A JP 2015543228 A JP2015543228 A JP 2015543228A JP 2016506107 A JP2016506107 A JP 2016506107A
Authority
JP
Japan
Prior art keywords
virtual machine
platform
request message
party
security control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015543228A
Other languages
English (en)
Other versions
JP6114832B2 (ja
Inventor
思海 叶
思海 叶
迅 施
迅 施
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2016506107A publication Critical patent/JP2016506107A/ja
Application granted granted Critical
Publication of JP6114832B2 publication Critical patent/JP6114832B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token

Abstract

本発明の実施例は、仮想マシンのための管理制御方法、装置及びシステムを提供する。本発明の実施例のセキュリティ制御プラットフォームは、セキュリティ制御プラットフォームにより、管理プラットフォームにより転送されたユーザ装置からの仮想マシン開始要求メッセージを受信し、仮想マシン開始要求メッセージは、使用可能になる必要がある仮想マシンの識別子及びユーザ情報を含み、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出し、ユーザ情報で認証を実行し、成功した認証に基づいて、使用可能になる必要がある仮想マシンをカプセル化解除するために、第3者の信頼を受けたプラットフォームを呼び出すことを含む。他のユーザ装置(管理プラットフォームを含む)が第3者の信頼を受けたプラットフォームの鍵を取得できないことが確保され、このことは、仮想マシンでの管理制御のセキュリティを向上させ、これにより、クラウドコンピューティングプラットフォームのセキュリティを向上させる。

Description

本発明は、通信技術に関し、特に仮想マシンのための管理制御方法、装置及びシステムに関する。
様々な相互接続されたコンピューティングリソースを効果的に統合し、マルチレイヤの仮想化及び抽象化を実現することにより、クラウドコンピューティングプラットフォームは、信頼できる仮想マシンの形式でユーザにとって大量のコンピューティングリソースを効果的に提供することができる。クラウドコンピューティングプラットフォームは、企業秘密、コードの漏洩等を含むユーザ秘密データの漏洩を防止するために、インターネットからの及び仮想マシン間のセキュリティ攻撃を防止する信頼できるセキュリティ保証技術を提供することができなければならないだけでなく、クラウドコンピューティングプラットフォームの信用及びユーザの様々なアプリケーションを確保することができなければならない。
既存のクラウドコンピューティングプラットフォームにより提供されるセキュリティ保証技術は、例えば、仮想マシンユーザ識別認証技術若しくはマルウェア防止技術、又はデータ漏洩防止(data leakage prevention、DLP)技術を含む。
しかし、既存のクラウドコンピューティングプラットフォームに基づいて提供されるセキュリティ保証技術は、多くの問題を有する。例えば、仮想マシンユーザ識別認証技術は、クラウドコンピューティングプラットフォームの管理者の特権により生じるセキュリティ脅威の問題を解決することができない。他の例では、マルウェア防止技術は、セキュリティソフトウェアにより識別可能なマルウェア及びトロイの木馬のみを防止することができ、偽陰性が生じる可能性がある。他の例では、データ漏洩防止技術は、限られたオペレーティングシステム又はアプリケーションのみをサポートし、64ビットのWindows(登録商標)、Linux(登録商標)等をサポートすることができない。或いは、クラウド内の複数のテナントの事例に適用できず、仮想マシン間のデータ送信漏洩を制御することができない。或いは、ユーザにとってトランスペアレントではない。このことは、企業における情報共有効率に影響を与える。
従って、既存のクラウドコンピューティングプラットフォームにより提供されるセキュリティ保証技術は、比較的低いセキュリティの問題を有する。
本発明は、既存のクラウドコンピューティングプラットフォームにより提供されるセキュリティ保証技術に存在する比較的低いセキュリティの問題を軽減し得る、仮想マシンのための管理制御方法、装置、及びシステムを提供する。
第1の態様によれば、本発明は、仮想マシンのための管理制御方法を提供し、セキュリティ制御プラットフォームにより、管理プラットフォームにより転送されたユーザ装置からの仮想マシン開始要求メッセージを受信し、仮想マシン開始要求メッセージは、使用可能になる必要がある仮想マシンの識別子及びユーザ情報を含み、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出し、ユーザ情報で認証を実行し、成功した認証に基づいて、使用可能になる必要がある仮想マシンをカプセル化解除するために、第3者の信頼を受けたプラットフォームを呼び出すことを含む。
第1の態様に基づいて、第1の可能な実現方式では、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出すことは、仮想マシン開始要求メッセージが許可されたユーザのために第3者の信頼を受けたプラットフォームにより提供された鍵を使用することにより暗号化されていることが決定された場合、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定し、仮想マシン開始要求メッセージを解読するために、許可されたユーザのために第3者の信頼を受けたプラットフォームにより提供された鍵を呼び出すことを含む。
第1の態様に基づいて、第2の可能な実現方式では、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出すことは、仮想マシン開始要求メッセージが第3者の信頼を受けたプラットフォームの公開鍵を使用することにより暗号化されていることが決定された場合、仮想マシン開始要求メッセージを解読するために、第3者の信頼を受けたプラットフォームの公開鍵を呼び出し、仮想マシン開始要求メッセージのデジタル署名情報を取得し、取得されたデジタル署名情報がセキュリティ制御プラットフォームに事前に格納された許可されたユーザのデジタル署名情報に一致することが決定された場合、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定することを含む。
第1の態様に基づいて、第3の可能な実現方式では、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出すことは、セキュリティ制御プラットフォームにより、第3者の信頼を受けたプラットフォームの鍵を使用することにより暗号化されたデータを生成するために、第3者の信頼を受けたプラットフォームを呼び出し、ユーザ装置が許可されたユーザのために第3者の信頼を受けたプラットフォームにより提供された秘密鍵を使用することにより暗号化されたデータを解読し、解読されたデータをセキュリティ制御プラットフォームに戻すため、管理プラットフォームを使用することにより、暗号化されたデータをユーザ装置に送信し、解読されたデータが暗号化されたデータと同じであることが決定された場合、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定することを含む。
第1の態様の第1、第2及び第3の可能な実現方式に基づいて、第4の可能な実現方式では、使用可能になる必要がある仮想マシンをカプセル化解除するために、第3者の信頼を受けたプラットフォームを呼び出した後に、この方法は、セキュリティ制御プラットフォームにより、仮想マシンでインテグリティチェックを実行するために、第3者の信頼を受けたプラットフォームを呼び出し、インテグリティチェック値がセキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値に一致しない場合、仮想マシンの使用可能を制限し、或いは、インテグリティチェック値がセキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値に一致する場合、仮想マシンを使用可能にすることを含む。
第1の態様の第1、第2及び第3の可能な実現方式に基づいて、第5の可能な実現方式では、使用可能になる必要がある仮想マシンをカプセル化解除するために、第3者の信頼を受けたプラットフォームを呼び出した後に、この方法は、セキュリティ制御プラットフォームにより、仮想マシンモニタを使用することにより、新たなアプリケーションプログラムが仮想マシンにインストールされたことを検出し、新たなアプリケーションプログラムが許可されたユーザの命令に従ってユーザ装置によりインストールされたことを決定し、仮想マシンでインテグリティチェックを実行するために、第3者の信頼を受けたプラットフォームを呼び出し、セキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値を更新することを含む。
第1の態様の第1、第2及び第3の可能な実現方式に基づいて、第6の可能な実現方式では、使用可能になる必要がある仮想マシンをカプセル化解除するために、第3者の信頼を受けたプラットフォームを呼び出した後に、この方法は、セキュリティ制御プラットフォームにより、管理プラットフォームにより送信された仮想マシンインテグリティチェック要求メッセージを受信し、仮想マシンインテグリティチェック要求メッセージは、ユーザ装置により管理プラットフォームに送信され、仮想マシンインテグリティチェック要求メッセージは、インテグリティチェックを必要とする仮想マシンの識別子を含み、仮想マシンでインテグリティチェックを実行するために、第3者の信頼を受けたプラットフォームを呼び出し、インテグリティチェック値とセキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値とを比較し、管理プラットフォームがインテグリティチェック値比較結果をユーザ装置に送信するため、インテグリティチェック値比較結果を管理プラットフォームに送信することを含む。
第1の態様の第1、第2及び第3の可能な実現方式に基づいて、第7の可能な実現方式では、使用可能になる必要がある仮想マシンをカプセル化解除するために、第3者の信頼を受けたプラットフォームを呼び出した後に、この方法は、セキュリティ制御プラットフォームにより、仮想マシンモニタを使用することにより、仮想マシン内の仮想記憶データについての1つ以上の他の仮想マシンのアクセス要求を検出し、アクセス要求を開始した1つ以上の他の仮想マシンの識別子とアプリケーションプログラムの識別子とを取得し、仮想マシンのアクセス制御ポリシーテーブルのエントリが取得された1つ以上の他の仮想マシンの識別子とアプリケーションプログラムの識別子とを含むことが決定された場合、仮想マシン内の仮想記憶データを解読するために、第3者の信頼を受けたプラットフォームを呼び出し、解読された仮想記憶データを、アクセス要求を開始した1つ以上の他の仮想マシンに送信することを含む。
第5の態様に基づいて、第8の可能な実現方式では、仮想マシン開始要求メッセージは、使用可能になる必要がある仮想マシンのためのカプセル化鍵を更に含み、ユーザ情報で認証を実行した後に、成功した認証に基づいて、この方法は、セキュリティ制御プラットフォームにより、使用可能になる必要がある仮想マシンのための、仮想マシン開始要求メッセージに含まれるカプセル化鍵を使用することにより、仮想マシンの識別子に対応する仮想マシンをカプセル化解除することを含む。
セキュリティ制御プラットフォームは、信頼を受けたサービスドメイン(TSD)を含み、第3者の信頼を受けたプラットフォームは、信頼を受けたプラットフォームモジュール(TPM)と、信頼を受けた暗号化モジュール(TCM)とを含む。
第2の態様によれば、本発明は、セキュリティ制御プラットフォームを提供し、管理プラットフォームにより転送されたユーザ装置からの仮想マシン開始要求メッセージを受信するように構成された受信モジュールであり、仮想マシン開始要求メッセージは、使用可能になる必要がある仮想マシンの識別子及びユーザ情報を含む受信モジュールと、受信モジュールがユーザ装置からの仮想マシン開始要求メッセージを受信したことに基づいて、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出すように構成された決定モジュールと、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定モジュールが決定したことに基づいて、ユーザ情報が成功して認証された後に、使用可能になる必要がある仮想マシンをカプセル化解除するために、第3者の信頼を受けたプラットフォームを呼び出すように構成されたカプセル化解除モジュールとを含む。
第3の態様によれば、本発明は、仮想マシンのための管理制御システムを提供し、前述のセキュリティ制御プラットフォームを含む。
第4の態様によれば、本発明は、プロセッサを含むセキュリティ制御プラットフォームを提供し、プロセッサは、実行中に、管理プラットフォームにより転送されたユーザ装置からの仮想マシン開始要求メッセージを受信するステップであり、仮想マシン開始要求メッセージは、使用可能になる必要がある仮想マシンの識別子及びユーザ情報を含むステップと、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出すステップと、ユーザ情報が成功して認証された後に、使用可能になる必要がある仮想マシンをカプセル化解除するために、第3者の信頼を受けたプラットフォームを呼び出すステップとを実行する。
前述の技術的対策から、本発明の実施例では、第3者の信頼を受けたプラットフォームの鍵を使用することにより暗号化され、管理プラットフォームにより転送されたユーザ装置からの仮想マシン使用可能要求メッセージを受信した場合、セキュリティ制御プラットフォームは、まず、仮想マシン使用可能要求メッセージを解読するために、第3者の信頼を受けたプラットフォームの解読機能を呼び出し、仮想マシン使用可能要求メッセージに含まれるユーザ情報と使用可能になる必要がある仮想マシンの識別子とを取得し、ユーザ情報で認証を更に実行し、成功した認証の後に、使用可能になる必要がある仮想マシンをカプセル化解除するために、第3者の信頼を受けたプラットフォームの解読機能を再び呼び出す。これにより、他のユーザ装置(管理プラットフォームを含む)が仮想マシン使用可能要求メッセージを暗号化するための第3者の信頼を受けたプラットフォームの鍵を取得できず、仮想マシンでカプセル化及び暗号化を実行するための第3者の信頼を受けたプラットフォームのカプセル化鍵も取得できないことを確保することが分かる。すなわち、ユーザの仮想マシンは、ユーザによってのみ使用可能になることが可能になり、このことは、仮想マシンでの管理制御のセキュリティを向上させ、これにより、クラウドコンピューティングプラットフォームのセキュリティも向上させる。
本発明又は従来技術の技術的対策を明確に説明するために、以下に、実施例又は従来技術を説明するために必要な添付図面を簡単に紹介する。明らかに、以下の説明における添付図面は、本発明のいくつかの実施例を示している。
本発明の実施例による仮想マシンのための管理制御方法の概略フローチャート 図1に示す仮想マシンのための管理制御方法が適用される実施例のアプリケーションシステムのアーキテクチャ図 本発明の他の実施例による仮想マシンのための管理制御方法の概略フローチャート 本発明の他の実施例による仮想マシンのための管理制御方法の概略フローチャート 本発明の他の実施例によるセキュリティ制御プラットフォームの概略構成図 図5に示す実施例によるセキュリティ制御プラットフォームの他の概略構成図 図5に示す実施例によるセキュリティ制御プラットフォームの他の概略構成図
本発明の実施例の目的、技術的対策及び利点を明瞭にするために、以下では、本発明の実施例の添付図面を参照して本発明の実施例の技術的対策を明瞭且つ完全に説明する。明らかに、説明する実施例は本発明の全てではなく、一部である。
本発明の実施例では、セキュリティ制御プラットフォームは、信頼を受けたサービスドメイン(Trusted Service Domain、TSD)を含む。セキュリティ制御プラットフォームは、信頼を受けたセキュリティサービスを提供するモジュールであり、セキュリティ制御プラットフォームの展開形式は、ソフトウェアモジュールでもよく、物理的なホストでもよく、仮想マシンでもよい。これは本発明では限定されない。セキュリティ制御プラットフォームは、ユーザ装置がユーザの保護された仮想マシンを開始したときに、ユーザ情報で実行される認証を完了するために、第3者の信頼を受けたプラットフォームを呼び出し、未許可のユーザ(管理者を含む)がユーザの保護された仮想マシンを開始することを防止するように構成される。セキュリティ制御プラットフォームは、保護された仮想マシンにインストールされ得るアプリケーションプログラムを許可するために、保護された仮想マシンのセキュリティ制御ポリシーテーブルを予め設定するように更に構成される。セキュリティ制御プラットフォームは、保護された仮想マシン内の仮想記憶データにアクセスし得る他の仮想マシン及びこれらのアプリケーションプログラムを許可するために、保護された仮想マシンのアクセス制御ポリシーテーブルを予め設定するように更に構成される。
本発明の実施例では、第3者の信頼を受けたプラットフォームは、信頼を受けたプラットフォームモジュール(Trusted Platform Module、TPM)又は信頼を受けた暗号化モジュール(Trusted Cryptography Module、TCM)を含み、第3者の信頼を受けたプラットフォームの展開形式は、クラウドコンピューティングプラットフォームのサーバのメインボードに設置されたハードウェアチップでもよい。第3者の信頼を受けたプラットフォームは、埋め込まれたコンピューティングシステム機能のセキュリティ及び機密性の機能であり、物理的なセキュリティの側面における攻撃防止、改変防止及び検出防止機能を有する。従って、第3者の信頼を受けたプラットフォームは、第3者の信頼を受けたプラットフォーム及びクラウドコンピューティングプラットフォームのデータが不正な攻撃から防止されることを確保し、クラウドコンピューティングプラットフォームの信頼及びセキュリティ機能のサポートの基本的な根源を提供することができる。
図1は、本発明の実施例による仮想マシンのための管理制御方法の概略フローチャートである。図1に示すように、この実施例の仮想マシンのための管理制御方法は以下を含んでもよい。
101:セキュリティ制御プラットフォームは、管理プラットフォームにより転送されたユーザ装置からの仮想マシン開始要求メッセージを受信する。仮想マシン開始要求メッセージは、使用可能になる必要がある仮想マシンの識別子及びユーザ情報を含む。
図2は、本発明のこの実施例に示す仮想マシンのための管理制御方法のアプリケーションシステムのアーキテクチャ図である。図2に示すように、図2に示すアプリケーションシステムの様々な構成要素について以下に説明する。
ハードウェアレイヤ(Hardware Layer)は、CPUと、メモリと、ネットワークリソースとを含む物理的なホストでもよい。物理的なホストは、TPMチップを有し、TPMチップを含む物理的なホストは、本発明のこの実施例では第3者の信頼を受けたプラットフォームを構成する。
仮想マシンモニタ(Virtual Machine Monitor、VMM)は、ハードウェアレイヤとオペレーティングシステムとの間に位置し、上位レイヤで動作するオペレーティングシステムのための仮想化されたハードウェアリソースを提供する役目をし、仮想化されたハードウェアリソースを管理して割り当て、上位レイヤの仮想マシンが互いに隔離されることを確保する。
管理プラットフォーム(Manage Domain)は、他の仮想マシンのマネージャ及びコントローラである。これは、特権を受けた仮想マシンであり、入力/出力リソースを動作させる特権を有し、物理的なハーウェアに直接アクセスすることができ、他のユーザの仮想マシン(Virtual Machine、VM)の管理を実現するために、管理システムの管理命令を受け付けて仮想マシンモニタにより提供されるアプリケーションプログラミングインタフェース(Application Programming Interface、API)と相互作用する役目をする。
信頼を受けたサービスドメイン(TSD)は、本発明のこの実施例ではセキュリティ制御プラットフォームである。
仮想マシン(Virtual Machine、VM)は、許可されたユーザに提供される保護された特権のない仮想マシンであり、クライアントオペレーティングシステムを実行し、ユーザのためのプライベートのセキュリティコンテナ又は信頼を受けた空間である。
ユーザ装置(User Equipment、UE)は、許可されたユーザの仮想マシンにアクセスするために、クラウドコンピューティングプラットフォームに接続する如何なる端末デバイスでもよい。
図2に示すシステムに基づいて、許可されたユーザがユーザ装置を使用することにより、許可されたユーザの保護された仮想マシン(Virtual Machine、VM)を使用可能にしたい場合、ユーザ装置は、仮想マシン開始要求メッセージを管理プラットフォームに送信する。仮想マシン開始要求メッセージは、使用可能になる必要がある仮想マシンの識別子(ID)及びユーザ情報を含む。ユーザ情報は、識別子(ID)、ユーザアカウント、バスワード及び動的なパスワードのようなユーザ装置についての情報を含むが、これらに限定されない。
本発明の任意選択の実現方式では、仮想マシンの使用可能が安全であり信頼できることを確保するために、前述の仮想マシン開始要求メッセージは、第3者の信頼を受けたプラットフォームの鍵である図2に示すkey 1のような、第3者の信頼を受けたプラットフォームの鍵を使用することにより暗号化されてもよい。第3者の信頼を受けたプラットフォームの鍵は、ユーザのために第3者の信頼を受けたプラットフォームにより提供された秘密ユニバーサルシリアルバス(Universal Serial Bus、USB)鍵(Key)又はスマートカードでもよい。許可されたユーザのみが、仮想マシン開始要求メッセージを暗号化するために秘密鍵を使用することができ、管理プラットフォームも他のユーザも鍵を使用することができない。
本発明の任意選択の実現方式では、仮想マシンの使用可能が安全であり信頼できることを確保するために、ユーザ装置は、許可されたユーザの命令を使用することにより設定された鍵に従って仮想マシン開始要求メッセージにデジタル署名を追加し、第3者の信頼を受けたプラットフォームの公開鍵を使用することにより、仮想マシン開始要求メッセージを暗号化してもよい。
図2に示すように、管理プラットフォームがユーザ装置により送信された仮想マシン開始要求メッセージを受信した後に、管理プラットフォームは、仮想マシン開始要求メッセージを送信したユーザ装置が信頼を受けたサービスに申し込んだユーザであるか否かを識別し、そうである場合、仮想マシン開始要求メッセージは、セキュリティ制御プラットフォームに送信される。仮想マシン開始要求メッセージは、第3者の信頼を受けたプラットフォームの鍵を使用することにより暗号化され、管理プラットフォームは、第3者の信頼を受けたプラットフォームの鍵を取得することはできない。このことは、仮想マシンの使用可能が安全であり信頼できることを確保し、クラウドコンピューティングプラットフォームの管理者の特権により生じるセキュリティ脅威の問題を解決することができる。
102:仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出す。
本発明の任意選択の実現方式では、管理プラットフォームを使用することにより、ユーザ装置によりセキュリティ制御プラットフォームに送信された仮想マシン開始要求メッセージは、暗号化されなくてもよい。仮想マシンの使用可能が安全であり信頼できることを確保するために、セキュリティ制御プラットフォームは、第3者の信頼を受けたプラットフォームの暗号化機能を呼び出し、第3者の信頼を受けたプラットフォームの鍵を使用することにより暗号化されたデータを生成してもよい。セキュリティ制御プラットフォームは、管理プラットフォームを使用することにより、暗号化されたデータをユーザ装置に送信する。ユーザ装置は、ユーザ装置のために第3者の信頼を受けたプラットフォームにより提供された秘密鍵(例えば、USB Key又はスマートカード)を使用することにより、暗号化されたデータを解読し、解読されたデータをセキュリティ制御プラットフォームに送信する。セキュリティ制御プラットフォームは、比較を行い、解読されたデータが暗号化されたデータと同じであるか否かを決定し、解読されたデータが暗号化されたデータと同じである場合、仮想マシン開始要求メッセージが許可されたユーザにより開始されたことを決定する。秘密USB Key又はスマートカードは、許可されたユーザのみにより使用されることができ、管理プラットフォームも他のユーザも許可されたユーザの秘密USB Key又はスマートカードを取得することができない。このことは、仮想マシンの使用可能が安全であり信頼できることを確保する。
本発明の任意選択の実現方式では、ステップ101において、前述の仮想マシン開始要求メッセージがユーザのための第3者の信頼を受けたプラットフォームにより提供された秘密鍵を使用することによりユーザ装置により暗号化されている場合、セキュリティ制御プラットフォームは、第3者の信頼を受けたプラットフォームの解読機能を呼び出し、仮想マシン開始要求メッセージを解読する。換言すると、ユーザのために第3者の信頼を受けたプラットフォームにより提供された秘密鍵を使用することにより、仮想マシン開始要求メッセージを解読する。解読の後に、セキュリティ制御プラットフォームは、仮想マシン開始要求メッセージに含まれるユーザ情報と使用可能になる必要がある仮想マシンの識別子とを取得してもよい。
本発明の任意選択の実現方式では、ステップ101において、ユーザ装置が許可されたユーザの命令を使用することにより設定された鍵に従って仮想マシン開始要求メッセージにデジタル署名を追加し、第3者の信頼を受けたプラットフォームの公開鍵を使用することにより仮想マシン開始要求メッセージを暗号化した場合、セキュリティ制御プラットフォームはまた、第3者の信頼を受けたプラットフォームの解読機能を呼び出し、仮想マシン開始要求メッセージを解読する必要がある。換言すると、第3者の信頼を受けたプラットフォームの公開鍵(例えば、ルート鍵)を使用することにより仮想マシン開始要求メッセージを解読する必要がある。更に、例えば、許可されたユーザのデジタル署名情報が事前にセキュリティ制御プラットフォームに格納され、セキュリティ制御プラットフォームは、仮想マシン開始要求メッセージのデジタル署名情報に従って、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により送信されたことを決定してもよい。このことは、仮想マシンの使用可能が安全であり信頼できることを確保する。解読の後に、セキュリティ制御プラットフォームは、仮想マシン開始要求メッセージに含まれるユーザ情報と使用可能になる必要がある仮想マシンの識別子とを取得してもよい。
103:ユーザ情報で認証を実行し、成功した認証に基づいて、使用可能になる必要がある仮想マシンをカプセル化解除するために、第3者の信頼を受けたプラットフォームを呼び出す。
本発明の任意選択の実現方式では、仮想マシンの使用可能が安全であり信頼できることを確保するために、ユーザ情報を取得した後に、セキュリティ制御プラットフォームは、仮想マシンが許可されたユーザにより使用可能になることを確保するために、許可されたユーザについての情報で認証を実行する。
本発明の任意選択の実現方式では、使用可能になる必要がある仮想マシンのセキュリティ及び信頼性を確保するために、使用可能になる必要がある仮想マシンは、第3者の信頼を受けたプラットフォームのカプセル化鍵(又はルート鍵)を使用することにより暗号化され、これにより、使用可能になる必要がある仮想マシンがユーザにとって絶対的にプライベートなセキュリティコンテナ又は信頼を受けた空間であることが決定されてもよい。従って、使用可能になる必要がある仮想マシンの識別子を取得した後に、セキュリティ制御プラットフォームは、第3者の信頼を受けたプラットフォームの解読機能を呼び出し、仮想マシンの識別子に対応する仮想マシンをカプセル化解除する必要がある。換言すると、使用可能になる必要がある仮想マシンのための第3者の信頼を受けたプラットフォームにより提供されたカプセル化鍵又は第3者の信頼を受けたプラットフォームのルート鍵を使用することにより、仮想マシンをカプセル化解除する必要がある。
本発明の任意選択の実現方式では、前述のステップ101において、仮想マシン開始要求メッセージが使用可能になる必要がある仮想マシンのカプセル化鍵を更に含む場合、ユーザ情報を成功して認証した後に、セキュリティ制御プラットフォームは、仮想マシン開始要求メッセージに含まれるカプセル化鍵を使用することにより、使用可能になる必要がある仮想マシンを直接カプセル化解除する。
本発明の任意選択の実現方式では、仮想マシンのセキュリティ及び信頼性を確保するために、使用可能になる必要がある仮想マシンをカプセル化解除した後に、セキュリティ制御プラットフォームは、第3者の信頼を受けたプラットフォームを呼び出し、カプセル化解除された仮想マシンでインテグリティチェックを実行し、例えば、仮想マシンのオペレーティングシステム、レジストリ、システムディレクトリ及びログインのログのうち少なくとも1つをチェックしてもよい。現在のチェックのインテグリティチェック値がセキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値に一致しない場合、これは、仮想マシンの動作環境が変更されたことを示す。仮想マシンのセキュリティ及び信頼性を確保するために、セキュリティ制御プラットフォームは、仮想マシンの使用可能を制限してもよく、例えば、仮想マシンによる重要データへのアクセス及び仮想マシンの送信権限を制限してもよく、更に、復旧パスワードを入力すること又は対処のためにサービスプロバイダに連絡することのような情報を用いてユーザ装置に促してもよい。インテグリティチェック値がセキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値に一致する場合、これは、仮想マシンの動作環境が変化しておらず、仮想マシンが安全であり信頼でき、仮想マシンが使用可能になることを示す。
本発明のこの実施例では、第3者の信頼を受けたプラットフォームの鍵を使用することにより暗号化され、管理プラットフォームにより転送されたユーザ装置からの仮想マシン使用可能要求メッセージを受信した場合、セキュリティ制御プラットフォームは、まず、仮想マシン使用可能要求メッセージを解読するために、第3者の信頼を受けたプラットフォームの解読機能を呼び出し、仮想マシン使用可能要求メッセージに含まれるユーザ情報と使用可能になる必要がある仮想マシンの識別子とを取得し、ユーザ情報で認証を更に実行し、成功した認証の後に、使用可能になる必要がある仮想マシンをカプセル化解除するために、第3者の信頼を受けたプラットフォームの解読機能を再び呼び出す。これにより、他のユーザ装置(管理プラットフォームを含む)が仮想マシン使用可能要求メッセージを暗号化するための第3者の信頼を受けたプラットフォームの鍵を取得できず、仮想マシンでカプセル化及び暗号化を実行するための第3者の信頼を受けたプラットフォームのカプセル化鍵も取得できないことを確保する。すなわち、許可されたユーザの仮想マシンは、許可されたユーザによってのみ使用可能になることが可能になり、このことは、仮想マシンでの管理制御のセキュリティを向上させ、これにより、クラウドコンピューティングプラットフォームのセキュリティも向上させる。
図3は、本発明の他の実施例による仮想マシンのための管理制御方法の概略フローチャートである。この方法は、図1の方法の実施例及び図2に示すアプリケーションシステムに基づく更なる拡張である。許可されたユーザがユーザ装置を使用することにより許可されたユーザの仮想マシンを使用可能にした後に、仮想マシンの実行中に動作環境が変化した場合、例えば、新たなアプリケーションプログラムが仮想マシンにインストールされた場合、仮想マシンの安全な実行を実現するため、セキュリティ制御プラットフォームは、仮想マシンでインテグリティチェックを実行するために、第3者の信頼を受けたプラットフォームを呼び出してもよい。特定の実現処理は図3に示されており、以下を含む。
301:セキュリティ制御プラットフォームは、仮想マシンモニタを使用することにより、新たなアプリケーションプログラムが仮想マシンにインストールされたことを検出する。
許可されたユーザがユーザ装置を使用することにより許可されたユーザの仮想マシンを使用可能にした後に、新たなアプリケーションが、仮想マシンの実行中に仮想マシンにインストールされる。図2に示すように、仮想マシンモニタは、新たなアプリケーションが仮想マシンにインストールされたことを検出し、新たにインストールされたアプリケーションプログラムの識別子を取得してもよい。仮想マシンモニタは、新たにインストールされたアプリケーションプログラムの識別子をセキュリティ制御プラットフォームに通知する。
302:新たなアプリケーションプログラムが許可されたユーザの命令に従ってユーザ装置によりインストールされたことを決定する。
303:仮想マシンでインテグリティチェックを実行するために、第3者の信頼を受けたプラットフォームを呼び出し、セキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値を更新する。
本発明の任意選択の実現方式では、ユーザ装置は、セキュリティ制御プラットフォームで、許可されたユーザの命令に従って、ユーザの保護された仮想マシンのセキュリティ制御ポリシーテーブルを予め設定してもよい。表1は、本発明のこの実施例に適用されるセキュリティ制御ポリシーテーブルである。実際の用途では、複数の保護された仮想マシンのセキュリティ制御ポリシーテーブルがセキュリティ制御プラットフォームに存在する。表1に示すように、仮想マシンの識別子は、セキュリティ制御ポリシーテーブルの対応する仮想マシンのセキュリティ制御ポリシーテーブルのエントリを表すために使用される。例えば、アプリケーションプログラム1の識別子及びアプリケーションプログラム2の識別子のような、仮想マシン1へのインストールが事前に許可されたアプリケーションプログラムの識別子は、仮想マシンに対応するセキュリティ制御ポリシーテーブルに追加される。
Figure 2016506107
 仮想マシンモニタを使用することにより、新たなアプリケーションプログラムが仮想マシンにインストールされたことを検出した場合、セキュリティ制御プラットフォームは、新たにインストールされたアプリケーションプログラムの識別子に従って、仮想マシンに対応するセキュリティ制御ポリシーテーブルに問い合わせる。仮想マシンに対応するセキュリティ制御ポリシーテーブルが新たにインストールされたアプリケーションプログラムの識別子を含むことが決定された場合、セキュリティ制御プラットフォームは、新たなアプリケーションプログラムが許可されたユーザの命令に従ってユーザ装置によりインストールされたことを決定し、仮想マシンでインテグリティチェックを実行するために、第3者の信頼を受けたプラットフォームを呼び出し、現在のチェックのインテグリティチェック値で、セキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値を更新する。
本発明の任意選択の実現方式では、許可されたユーザがユーザ装置を使用することにより許可されたユーザの仮想マシンを使用可能にした後に、許可されたユーザは、仮想マシンの実行中にユーザ装置を使用することにより許可されたユーザの仮想マシンに新たなアプリケーションプログラムをインストールしてもよい。特定の実現では、ユーザ装置は、許可されたユーザの命令に従って、管理プラットフォームを使用することにより、新たなアプリケーションプログラムをインストールする要求をセキュリティ制御プラットフォームに送信してもよい。
例えば、新たなアプリケーションプログラムが許可されたユーザの命令に従ってユーザ装置によりインストールされることを確保するために、前述の新たなアプリケーションプログラムをインストールする要求は、第3者の信頼を受けたプラットフォームの鍵を使用することにより暗号化される。第3者の信頼を受けたプラットフォームの鍵は、ユーザ装置のために第3者の信頼を受けたプラットフォームにより提供された秘密ユニバーサルシリアルバス(Universal Serial Bus)鍵Key又はスマートカードでもよい。ユーザのみが、新たなアプリケーションプログラムをインストールする要求を暗号化するために秘密鍵を使用することができ、管理プラットフォームも他のユーザも鍵を使用することができない。
セキュリティ制御プラットフォームは、第3者の信頼を受けたプラットフォームの解読機能を呼び出し、新たなアプリケーションプログラムをインストールする要求を解読する。換言すると、ユーザのために第3者の信頼を受けたプラットフォームにより提供された鍵を使用することにより、新たなアプリケーションプログラムをインストールする要求を解読する。次に、セキュリティ制御プラットフォームは、新たなアプリケーションプログラムが許可されたユーザの命令に従ってユーザ装置によりインストールされたことを決定し、仮想マシンでインテグリティチェックを実行するために、第3者の信頼を受けたプラットフォームを呼び出し、現在のチェックのインテグリティチェック値で、セキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値を更新する。
他の例では、新たなアプリケーションプログラムが許可されたユーザの命令に従ってユーザ装置にインストールされることを確保するために、ユーザ装置は、許可されたユーザの命令を使用することにより設定された鍵に従って、新たなアプリケーションプログラムをインストールする要求に署名し、第3者の信頼を受けたプラットフォームの公開鍵を使用することにより、新たなアプリケーションプログラムをインストールする要求を暗号化してもよい。
セキュリティ制御プラットフォームはまた、第3者の信頼を受けたプラットフォームの解読機能を呼び出し、新たなアプリケーションプログラムをインストールする要求を解読する必要がある。換言すると、第3者の信頼を受けたプラットフォームの公開鍵(例えば、ルート鍵)を使用することにより新たなアプリケーションプログラムをインストールする要求を解読する必要がある。更に、例えば、許可されたユーザのデジタル署名情報が事前にセキュリティ制御プラットフォームに格納され、セキュリティ制御プラットフォームは、新たなアプリケーションプログラムをインストールする要求のデジタル署名情報に従って、新たなアプリケーションプログラムをインストールする要求が許可されたユーザの命令に従ってユーザ装置により送信されたことを決定してもよい。このことは、新たなアプリケーションプログラムのインストールが安全であり信頼できることを確保する。
他の例では、管理プラットフォームを使用することによりユーザ装置によりセキュリティ制御プラットフォームに送信された新たなアプリケーションプログラムをインストールする要求は暗号化されない。新たなアプリケーションプログラムが許可されたユーザの命令に従ってユーザ装置にインストールされることを確保するために、セキュリティ制御プラットフォームは、第3者の信頼を受けたプラットフォームの暗号化機能を呼び出し、第3者の信頼を受けたプラットフォームの鍵を使用することにより暗号化されたデータを生成してもよい。セキュリティ制御プラットフォームは、ユーザのために第3者の信頼を受けたプラットフォームにより提供された秘密鍵(例えば、USB Key又はスマートカード)を使用することにより暗号化されたデータを解読し、解読されたデータをセキュリティ制御プラットフォームに送信する。セキュリティ制御プラットフォームは、比較を行い、解読されたデータが暗号化されたデータと同じであるか否かを決定し、解読されたデータが暗号化されたデータと同じである場合、新たなアプリケーションプログラムをインストールする要求が許可されたユーザにより開始されたことを決定する。秘密USB Key又はスマートカードは、許可されたユーザのみにより使用されることができ、管理プラットフォームも他のユーザも許可されたユーザの秘密USB Key又はスマートカードを取得することができない。このことは、新たなアプリケーションプログラムのインストールが安全であり信頼できることを確保する。
本発明の任意選択の実現方式では、仮想マシンが使用可能になった後に、仮想マシンの許可されたユーザは、いつでもユーザ装置を使用することにより、仮想マシンの実行中に仮想マシンのインテグリティチェックを開始してもよい。特に、ユーザ装置は、仮想マシンインテグリティチェック要求メッセージを管理プラットフォームに送信する。仮想マシンインテグリティチェック要求メッセージは、インテグリティチェックを必要とする仮想マシンの識別子を含む。管理プラットフォームは、仮想マシンインテグリティチェック要求メッセージをセキュリティ制御プラットフォームに転送し、管理プラットフォームにより送信された仮想マシンインテグリティチェック要求メッセージを受信した後に、セキュリティ制御プラットフォームは、仮想マシンでインテグリティチェックを実行するために、第3者の信頼を受けたプラットフォームを呼び出してもよい。現在のチェックのインテグリティチェック値は、セキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値と比較される。更に、比較の後に、仮想マシンのインテグリティチェック値が変化したことが分かった場合、未許可のアプリケーションプログラムが新たにインストールされたことがログに従って分かる。セキュリティ制御プラットフォームは、ユーザ装置がインテグリティチェック値比較結果に従って未許可のアプリケーションプログラムをアンインストールするため、又はシステム復旧動作を使用することにより仮想マシンを復旧するため、管理プラットフォームを使用することによりインテグリティチェック値比較結果をユーザ装置にフィードバックする。
この実施例では、未許可のアプリケーションプログラム(例えば、マルウェア)が仮想マシンにインストールされた場合、セキュリティ制御プラットフォームは、仮想マシンでインテグリティチェックを実行せず、仮想マシンのインテグリティチェック値をリフレッシュしない。従って、未許可のマルウェアが仮想マシンにインストールされても、セキュリティ制御プラットフォームは、マルウェアがインストールされた仮想マシンによる重要データへのアクセス及び仮想マシンの送信権限を制限してもよい。この理由は、新たにインストールされたマルウェアがセキュリティ制御プラットフォームにより実行されたインテグリティチェックにパスしないからである。従って、未許可のアプリケーションプログラム(マルウェアを含む)がインストールされたいずれかの仮想マシンでは、セキュリティ制御プラットフォームは、仮想マシンによる重要データへのアクセス及び仮想マシンの送信権限を制限してもよい。このことは、マルウェア防止技術がセキュリティソフトウェアにより識別可能なマルウェア及びトロイの木馬のみを防止することができ、偽陰性が生じる可能性があるという問題を解決する。
本発明のこの実施例では、新たなアプリケーションプログラムが仮想マシンにインストールされたことをセキュリティ制御プラットフォームが検出したときに、仮想マシンに対応するセキュリティ制御ポリシーテーブルが新たなアプリケーションプログラムの識別子を含むことが決定された場合、セキュリティ制御プラットフォームは、仮想マシンでインテグリティチェックを実行するために、第3者の信頼を受けたプラットフォームを呼び出し、セキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値を更新する。仮想マシンに新たにインストールされたアプリケーションプログラムが予め設定されたセキュリティ制御ポリシーテーブル内のアプリケーションプログラムではない場合、仮想マシンでインテグリティチェックが実行されないことが実現され得る。従って、インストールがユーザにより許可されているアプリケーションプログラムのみがインストールされ、仮想マシンで実行可能になることが確保され得る。そうでない場合、セキュリティ制御プラットフォームにより実行されるインテグリティチェックはパスしない。セキュリティ制御プラットフォームは、仮想マシンによる重要データへのアクセス及び仮想マシンの送信権限を制限してもよい。従って、保護されたユーザの仮想マシンのセキュリティの実行が確保可能になり、仮想マシンの管理制御のセキュリティが向上し、これにより、クラウドコンピューティングプラットフォームのセキュリティも向上する。
図4は、本発明の他の実施例による仮想マシンのための管理制御方法の概略フローチャートである。この方法は、図1の方法の実施例及び図2に示すアプリケーションシステムに基づく更なる拡張である。許可されたユーザがユーザ装置を使用することにより許可されたユーザの仮想マシンを使用可能にした後に、1つ以上の他の仮想マシンのアプリケーションプログラムが仮想マシンの実行中に仮想マシンの仮想記憶内のデータにアクセスすることを要求した場合、許可されたユーザの仮想マシンの仮想記憶内のデータのセキュリティを確保するために、セキュリティ制御プラットフォームは、1つ以上の他の仮想マシン及び1つ以上の他の仮想マシンのアプリケーションプログラムの許可を検証し、セキュリティ制御プラットフォームは、検証が成功した後にのみ、仮想マシンの仮想記憶内のデータを解読するために、第3者の信頼を受けたプラットフォームを呼び出す。
401:セキュリティ制御プラットフォームは、仮想マシンモニタを使用することにより、仮想マシン内の仮想記憶データについての1つ以上の他の仮想マシンのアクセス要求を検出し、アクセス要求を開始した1つ以上の他の仮想マシンの識別子と、1つ以上の他の仮想マシンのアプリケーションプログラムの識別子とを取得する。
図2に示すように、許可されたユーザがユーザ装置を使用することにより許可されたユーザの仮想マシンを使用可能にした後に、1つ以上の他の仮想マシンが仮想マシンの実行中に許可されたユーザの仮想マシンの仮想記憶内のデータにアクセスすることを要求した場合、仮想マシンモニタは、仮想マシンの情報フローを追跡することにより、アクセス要求を開始した1つ以上の他の仮想マシンの識別子を取得する。実際の用途では、アクセス要求は一般的に1つ以上の他の仮想マシンのアプリケーションプログラムにより開始され、従って、仮想マシンモニタは、仮想マシンの情報フローを追跡することにより、アクセス要求を開始した1つ以上の他の仮想マシンのアプリケーションプログラムの識別子を更に取得し得る点に留意すべきである。仮想マシンモニタは、取得された1つ以上の他の仮想マシンの識別子と1つ以上の他の仮想マシンのアプリケーションプログラムの識別子とをセキュリティ制御プラットフォームに送信する。
402:仮想マシンのアクセス制御ポリシーテーブルがアクセス要求を開始した1つ以上の他の仮想マシンの識別子と1つ以上の他の仮想マシンのアプリケーションプログラムの識別子とを含むことが決定された場合、仮想マシン内の仮想記憶データを解読するために、第3者の信頼を受けたプラットフォームを呼び出す。
本発明の実現方式では、ユーザ装置は、セキュリティ制御プラットフォームで、許可されたユーザの命令に従って、ユーザの保護された仮想マシンのアクセス制御ポリシーテーブルを予め設定してもよい。表2は、本発明のこの実施例に適用されるアクセス制御ポリシーテーブルである。実際の用途では、複数の保護された仮想マシンのアクセス制御ポリシーテーブルがセキュリティ制御プラットフォームに存在する。表2に示すように、仮想マシンの識別子は、アクセス制御ポリシーテーブルの対応する仮想マシンのアクセス制御ポリシーテーブルのエントリを表すために使用される。例えば、アクセス制御ポリシーテーブルは、仮想マシン1及び仮想マシン2に対応するアクセス制御ポリシーテーブルのエントリを格納する。例えば、仮想マシン1へのアクセスが事前に許可されている他の仮想マシン3及び他の仮想マシン4の識別子、他の仮想マシン3にあるアプリケーションプログラム1の識別子及びアプリケーションプログラム2の識別子、並びに他の仮想マシン4にあるアプリケーションプログラム3の識別子及びアプリケーションプログラム4の識別子は、仮想マシン1に対応するセキュリティ制御ポリシーテーブルのエントリに追加される。
Figure 2016506107
セキュリティ制御プラットフォームは、アクセス要求を開始した1つ以上の他の仮想マシンの識別子及び1つ以上の他の仮想マシンのアプリケーションプログラムの識別子に従って、仮想マシンに対応するアクセス制御ポリシーテーブルに問い合わせる。仮想マシンに対応するアクセス制御ポリシーテーブルがアクセス要求を開始した1つ以上の他の仮想マシンの識別子及び1つ以上の他の仮想マシンのアプリケーションプログラムの識別子を含むことが決定された場合、セキュリティ制御プラットフォームは、アクセス要求を開始した1つ以上の他の仮想マシン及び1つ以上の他の仮想マシンのアプリケーションプログラムが事前に許可されていることを決定し、第3者の信頼を受けたプラットフォームを呼び出し、仮想マシン内の仮想記憶データを解読する。
本発明の実現方式では、仮想マシン内の仮想記憶データのセキュリティを確保するために、仮想マシン内の仮想記憶データは、第3者の信頼を受けたプラットフォームのカプセル化鍵を使用することにより暗号化される。これにより、仮想記憶データを格納する仮想マシン内の空間がユーザにとって絶対的にプライベートなセキュリティコンテナ及び空間になることを確保し得る。従って、アクセス要求を開始した仮想マシン及び仮想マシンのアプリケーションプログラムの認証を成功して検証した後に、セキュリティ制御プラットフォームは、第3者の信頼を受けたプラットフォームを呼び出し、仮想マシン内の仮想記憶データをカプセル化解除する。換言すると、仮想マシン内の仮想記憶データにおいて第3者の信頼を受けたプラットフォームにより実行された鍵に基づくカプセル化で使用されたカプセル化鍵、又は第3者の信頼を受けたプラットフォームのルート鍵を使用することにより、仮想マシン内の仮想記憶データをカプセル化解除する。
403:解読された仮想記憶データを、アクセス要求を開始した1つ以上の他の仮想マシンに送信する。
本発明の実現方式では、セキュリティ制御プラットフォームは、取得されたアクセス要求を開始した1つ以上の他の仮想マシンの識別子及び1つ以上の他の仮想マシンのアプリケーションプログラムの識別子に従って、仮想マシンに対応するアクセス制御ポリシーテーブルに問い合わせる。仮想マシンのアクセス制御ポリシーテーブルが取得された1つ以上の他の仮想マシンの識別子を含まないこと、又は取得された1つ以上の他の仮想マシンの識別子を含むが、取得されたアプリケーションプログラムの識別子を含まないことが決定された場合、セキュリティ制御プラットフォームは、アクセス要求が未許可であることを決定し、セキュリティ制御プラットフォームは、1つ以上の他の仮想マシンが仮想マシン内の仮想記憶データにアクセスするのを禁止する、或いは、解読されない仮想記憶データのみをアクセス要求を開始した仮想マシンに送信する。
前述の仮想マシン内の仮想記憶データは、仮想マシンの仮想メモリに格納されたデータと、仮想マシン内のメモリのデータとを含む。
本発明のこの実施例では、セキュリティ制御プラットフォームが保護されたユーザの仮想マシン内の仮想記憶データについて1つ以上の他の仮想マシン及び1つ以上の他の仮想マシンのアプリケーションプログラムのアクセス要求を検出したときに、ユーザの仮想マシンに対応するアクセス制御ポリシーテーブルがアクセス要求を開始した1つ以上の他の仮想マシンの識別子及び1つ以上の他の仮想マシンのアプリケーションプログラムの識別子を含むことが決定された場合、セキュリティ制御プラットフォームは、ユーザの仮想マシン内の仮想記憶データを解読するために、第3者の信頼を受けたプラットフォームを呼び出し、アクセス要求を開始した1つ以上の他の仮想マシンに解読されたデータを送信する。従って、他のユーザ装置(管理プラットフォームを含む)がユーザの仮想マシン内の仮想記憶データでカプセル化及び暗号化を実行するための第3者の信頼を受けたプラットフォームのカプセル化鍵が取得できないことが確保される。すなわち、ユーザにより許可された仮想マシン又はアプリケーションプログラムのみが、ユーザの仮想マシン内の仮想記憶データにアクセスすることができる。セキュリティ制御プラットフォームは、ユーザにより許可されていない1つ以上の他の仮想マシン及びアプリケーションプログラムによるユーザの仮想マシン内の仮想記憶データへのアクセスを制限してもよい。このことは、保護されたユーザの仮想マシン内の仮想記憶データのセキュリティを確保し、仮想マシンでの管理制御のセキュリティを向上させ、これにより、クラウドコンピューティングプラットフォームのセキュリティも向上させる。
更に、この実施例のセキュリティ制御プラットフォームは、全てのオペレーティングシステム又はアプリケーションをサポートし、クラウド内の複数のテナントの適用事例に当てはまり、仮想マシン間のデータ送信漏洩を効果的に制御することができる。
図5は、本発明の他の実施例によるセキュリティ制御プラットフォームの概略構成図である。図5に示すように、セキュリティ制御プラットフォームは、管理プラットフォームにより転送されたユーザ装置からの仮想マシン開始要求メッセージを受信するように構成された受信モジュール51であり、仮想マシン開始要求メッセージは、使用可能になる必要がある仮想マシンの識別子及びユーザ情報を含む受信モジュール51と、受信モジュールがユーザ装置からの仮想マシン開始要求メッセージを受信したことに基づいて、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出すように構成された決定モジュール52と、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定モジュールが決定したことに基づいて、ユーザ情報が成功して認証された後に、使用可能になる必要がある仮想マシンをカプセル化解除するために、第3者の信頼を受けたプラットフォームを呼び出すように構成されたカプセル化解除モジュール53とを含む。
本発明の実現方式では、決定モジュール52は、仮想マシン開始要求メッセージが許可されたユーザのために第3者の信頼を受けたプラットフォームにより提供された鍵を使用することにより暗号化されていることが決定された場合、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定し、仮想マシン開始要求メッセージを解読するために、許可されたユーザのために第3者の信頼を受けたプラットフォームにより提供された鍵を呼び出すように特に構成される。
本発明の実現方式では、決定モジュール52は、仮想マシン開始要求メッセージが第3者の信頼を受けたプラットフォームの公開鍵を使用することにより暗号化されていることが決定された場合、仮想マシン開始要求メッセージを解読するために、第3者の信頼を受けたプラットフォームの公開鍵を呼び出し、仮想マシン開始要求メッセージのデジタル署名情報を取得し、取得されたデジタル署名情報がセキュリティ制御プラットフォームに事前に格納された許可されたユーザのデジタル署名情報に一致することが決定された場合、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定するように特に構成される。
本発明の実現方式では、決定モジュール52は、第3者の信頼を受けたプラットフォームの鍵を使用することにより暗号化されたデータを生成するために、第3者の信頼を受けたプラットフォームを呼び出し、ユーザ装置が許可されたユーザのために第3者の信頼を受けたプラットフォームにより提供された秘密鍵を使用することにより暗号化されたデータを解読し、解読されたデータをセキュリティ制御プラットフォームに戻すため、管理プラットフォームを使用することにより、暗号化されたデータをユーザ装置に送信し、解読されたデータが暗号化されたデータと同じであることが決定された場合、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定するように特に構成される。
図6は、図5に示す実施例によるセキュリティ制御プラットフォームの他の概略構成図である。図6に示すように、セキュリティ制御プラットフォームは、仮想マシンでインテグリティチェックを実行するために、第3者の信頼を受けたプラットフォームを呼び出すように構成されたチェックモジュール54と、チェックモジュールが仮想マシンでインテグリティチェックを実行したことに基づいて、インテグリティチェック値がセキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値に一致しない場合、使用可能になる必要がある仮想マシンをカプセル化解除するカプセル化解除モジュールの使用可能を制限するように構成された使用可能制限モジュール55と、チェックモジュールが仮想マシンでインテグリティチェックを実行したことに基づいて、インテグリティチェック値がセキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値に一致する場合、使用可能になる必要がある仮想マシンをカプセル化解除するカプセル化解除モジュールを使用可能にするように構成された使用可能モジュール56とを更に含む。
図7は、図5に示す実施例によるセキュリティ制御プラットフォームの他の概略構成図である。図7に示すように、セキュリティ制御プラットフォームは、仮想マシンモニタを使用することにより、新たなアプリケーションプログラムが仮想マシンにインストールされたことを検出するように構成された監視モジュール57を更に含む。
本発明の実現方式では、チェックモジュール54は、新たなアプリケーションプログラムが仮想マシンにインストールされたことを監視モジュールが検出したことに基づいて、新たなアプリケーションプログラムが許可されたユーザの命令に従ってユーザ装置によりインストールされたことが決定された場合、仮想マシンでインテグリティチェックを実行するために、第3者の信頼を受けたプラットフォームを呼び出し、セキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値を更新するように更に構成される。
本発明の実現方式では、受信モジュール51は、管理プラットフォームにより送信された仮想マシンインテグリティチェック要求メッセージを受信するように更に構成され、仮想マシンインテグリティチェック要求メッセージは、ユーザ装置により管理プラットフォームに送信され、仮想マシンインテグリティチェック要求メッセージは、インテグリティチェックを必要とする仮想マシンの識別子を含む。
本発明の実現方式では、チェックモジュール54は、受信モジュールにより受信された仮想マシンインテグリティチェック要求メッセージに基づいて、仮想マシンでインテグリティチェックを実行するために、第3者の信頼を受けたプラットフォームを呼び出すように更に構成される。
本発明の実現方式では、セキュリティ制御プラットフォームは、チェックモジュールが仮想マシンでインテグリティチェックを実行したことに基づいて、インテグリティチェック値とセキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値とを比較し、管理プラットフォームがインテグリティチェック値比較結果をユーザ装置に送信するため、インテグリティチェック値比較結果を管理プラットフォームに送信するように構成された比較モジュール58を更に含む。
本発明の実現方式では、監視モジュール57は、仮想マシンモニタを使用することにより、仮想マシン内の仮想記憶データについての1つ以上の他の仮想マシンのアクセス要求を検出し、アクセス要求を開始した1つ以上の他の仮想マシンの識別子とアプリケーションプログラムの識別子とを取得するように更に構成され、カプセル化解除モジュール53は、監視モジュールが仮想マシン内の仮想記憶データについての1つ以上の他の仮想マシンのアクセス要求を検出したことに基づいて、仮想マシンのアクセス制御ポリシーテーブルのエントリが取得された1つ以上の他の仮想マシンの識別子とアプリケーションプログラムの識別子とを含むことが決定された場合、仮想マシン内の仮想記憶データを解読するために、第3者の信頼を受けたプラットフォームを呼び出し、解読された仮想記憶データを、アクセス要求を開始した1つ以上の他の仮想マシンに送信するように更に構成される。
本発明の実現方式では、前述の仮想マシン開始要求メッセージが、使用可能になる必要がある仮想マシンのためのカプセル化鍵を更に含む場合、カプセル化解除モジュール53は、受信モジュールにより受信された仮想マシン開始要求メッセージに基づいて、仮想マシン開始要求メッセージに含まれるカプセル化鍵を使用することにより、仮想マシンの識別子に対応する仮想マシンをカプセル化解除するように更に構成される。
セキュリティ制御プラットフォームは、信頼を受けたサービスドメイン(TSD)を含み、第3者の信頼を受けたプラットフォームは、信頼を受けたプラットフォームモジュール(TPM)と、信頼を受けた暗号化モジュール(TCM)とを含む。
前述の仮想マシン内の仮想記憶データは、仮想マシンの仮想メモリに格納されたデータと、仮想マシン内のメモリのデータとを含む。
本発明のこの実施例では、セキュリティ制御プラットフォームが保護されたユーザの仮想マシン内の仮想記憶データについて1つ以上の他の仮想マシン及び1つ以上の他の仮想マシンのアプリケーションプログラムのアクセス要求を検出したときに、ユーザの仮想マシンに対応するアクセス制御ポリシーテーブルがアクセス要求を開始した1つ以上の他の仮想マシンの識別子及び1つ以上の他の仮想マシンのアプリケーションプログラムの識別子を含むことが決定された場合、セキュリティ制御プラットフォームは、ユーザの仮想マシン内の仮想記憶データを解読するために、第3者の信頼を受けたプラットフォームを呼び出し、アクセス要求を開始した1つ以上の他の仮想マシンに解読されたデータを送信する。従って、他のユーザ装置(管理プラットフォームを含む)がユーザの仮想マシン内の仮想記憶データでカプセル化及び暗号化を実行するための第3者の信頼を受けたプラットフォームのカプセル化鍵が取得できないことが確保される。すなわち、ユーザにより許可された仮想マシン又はアプリケーションプログラムのみが、ユーザの仮想マシン内の仮想記憶データにアクセスすることができる。セキュリティ制御プラットフォームは、ユーザにより許可されていない1つ以上の他の仮想マシン及びアプリケーションプログラムによるユーザの仮想マシン内の仮想記憶データへのアクセスを制限してもよい。このことは、保護されたユーザの仮想マシン内の仮想記憶データのセキュリティを確保し、仮想マシンでの管理制御のセキュリティを向上させ、これにより、クラウドコンピューティングプラットフォームのセキュリティも向上させる。
更に、この実施例のセキュリティ制御プラットフォームは、全てのオペレーティングシステム又はアプリケーションをサポートし、クラウド内の複数のテナントの適用事例に当てはまり、仮想マシン間のデータ送信漏洩を効果的に制御することができる。
本発明の他の実施例は、プロセッサを含むセキュリティ制御プラットフォームを提供し、プロセッサは、実行中に、管理プラットフォームにより転送されたユーザ装置からの仮想マシン開始要求メッセージを受信するステップであり、仮想マシン開始要求メッセージは、使用可能になる必要がある仮想マシンの識別子及びユーザ情報を含むステップと、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出すステップと、ユーザ情報が成功して認証された後に、使用可能になる必要がある仮想マシンをカプセル化解除するために、第3者の信頼を受けたプラットフォームを呼び出すステップとを実行する。
第1の可能な実現方式では、プロセッサは、仮想マシン開始要求メッセージが許可されたユーザのために第3者の信頼を受けたプラットフォームにより提供された鍵を使用することにより暗号化されていることが決定された場合、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定し、仮想マシン開始要求メッセージを解読するために、許可されたユーザのために第3者の信頼を受けたプラットフォームにより提供された鍵を呼び出すステップを更に実行する。
第2の可能な実現方式では、プロセッサは、仮想マシン開始要求メッセージが第3者の信頼を受けたプラットフォームの公開鍵を使用することにより暗号化されていることが決定された場合、仮想マシン開始要求メッセージを解読するために、第3者の信頼を受けたプラットフォームの公開鍵を呼び出し、仮想マシン開始要求メッセージのデジタル署名情報を取得し、取得されたデジタル署名情報がセキュリティ制御プラットフォームに事前に格納された許可されたユーザのデジタル署名情報に一致することが決定された場合、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定するステップを更に実行する。
第3の可能な実現方式では、プロセッサは、第3者の信頼を受けたプラットフォームの鍵を使用することにより暗号化されたデータを生成するために、第3者の信頼を受けたプラットフォームを呼び出し、ユーザ装置が許可されたユーザのために第3者の信頼を受けたプラットフォームにより提供された秘密鍵を使用することにより暗号化されたデータを解読し、解読されたデータをセキュリティ制御プラットフォームに戻すため、管理プラットフォームを使用することにより、暗号化されたデータをユーザ装置に送信し、解読されたデータが暗号化されたデータと同じであることが決定された場合、仮想マシン開始要求メッセージが許可されたユーザの命令に従ってユーザ装置により開始されたことを決定するステップを更に実行する。
第1、第2及び第3の可能な実現方式に基づいて、第4の可能な実現方式では、プロセッサは、仮想マシンでインテグリティチェックを実行するために、第3者の信頼を受けたプラットフォームを呼び出すステップと、インテグリティチェック値がセキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値に一致しない場合、仮想マシンの使用可能を制限し、或いは、インテグリティチェック値がセキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値に一致する場合、仮想マシンを使用可能にするステップとを更に実行する。
第1、第2及び第3の可能な実現方式に基づいて、第5の可能な実現方式では、プロセッサは、仮想マシンモニタを使用することにより、新たなアプリケーションプログラムが仮想マシンにインストールされたことを検出し、新たなアプリケーションプログラムの識別子を取得するステップと、新たなアプリケーションプログラムが許可されたユーザの命令に従ってユーザ装置によりインストールされたことが決定された場合、仮想マシンでインテグリティチェックを実行するために、第3者の信頼を受けたプラットフォームを呼び出し、セキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値を更新するステップとを更に実行する。
第1、第2及び第3の可能な実現方式に基づいて、第6の可能な実現方式では、プロセッサは、管理プラットフォームにより送信された仮想マシンインテグリティチェック要求メッセージを受信するステップであり、仮想マシンインテグリティチェック要求メッセージは、ユーザ装置により管理プラットフォームに送信され、仮想マシンインテグリティチェック要求メッセージは、インテグリティチェックを必要とする仮想マシンの識別子を含むステップと、仮想マシンでインテグリティチェックを実行するために、第3者の信頼を受けたプラットフォームを呼び出すステップと、インテグリティチェック値とセキュリティ制御プラットフォームに格納された仮想マシンのインテグリティチェック値とを比較するステップと、管理プラットフォームがインテグリティチェック値比較結果をユーザ装置に送信するため、インテグリティチェック値比較結果を管理プラットフォームに送信するステップとを更に実行する。
第1、第2及び第3の可能な実現方式に基づいて、第7の可能な実現方式では、プロセッサは、仮想マシンモニタを使用することにより、仮想マシン内の仮想記憶データについての1つ以上の他の仮想マシンのアクセス要求を検出し、アクセス要求を開始した1つ以上の他の仮想マシンの識別子とアプリケーションプログラムの識別子とを取得するステップと、仮想マシンのアクセス制御ポリシーテーブルのエントリが取得された1つ以上の他の仮想マシンの識別子とアプリケーションプログラムの識別子とを含むことが決定された場合、仮想マシン内の仮想記憶データを解読するために、第3者の信頼を受けたプラットフォームを呼び出し、解読された仮想記憶データを、アクセス要求を開始した1つ以上の他の仮想マシンに送信するステップとを更に実行する。
第8の可能な実現方式では、仮想マシン開始要求メッセージは、使用可能になる必要がある仮想マシンのためのカプセル化鍵を更に含み、プロセッサは、仮想マシン開始要求メッセージに含まれるカプセル化鍵を使用することにより、仮想マシンの識別子に対応する仮想マシンをカプセル化解除するステップを更に実行する。
本発明のこの実施例では、セキュリティ制御プラットフォームが保護されたユーザの仮想マシン内の仮想記憶データについて1つ以上の他の仮想マシン及び1つ以上の他の仮想マシンのアプリケーションプログラムのアクセス要求を検出したときに、ユーザの仮想マシンに対応するアクセス制御ポリシーテーブルがアクセス要求を開始した1つ以上の他の仮想マシンの識別子及び1つ以上の他の仮想マシンのアプリケーションプログラムの識別子を含むことが決定された場合、セキュリティ制御プラットフォームは、ユーザの仮想マシン内の仮想記憶データを解読するために、第3者の信頼を受けたプラットフォームを呼び出し、アクセス要求を開始した1つ以上の他の仮想マシンに解読されたデータを送信する。従って、他のユーザ装置(管理プラットフォームを含む)がユーザの仮想マシン内の仮想記憶データでカプセル化及び暗号化を実行するための第3者の信頼を受けたプラットフォームのカプセル化鍵が取得できないことが確保される。すなわち、ユーザにより許可された仮想マシン又はアプリケーションプログラムのみが、ユーザの仮想マシン内の仮想記憶データにアクセスすることができる。セキュリティ制御プラットフォームは、ユーザにより許可されていない1つ以上の他の仮想マシン及びアプリケーションプログラムによるユーザの仮想マシン内の仮想記憶データへのアクセスを制限してもよい。このことは、保護されたユーザの仮想マシン内の仮想記憶データのセキュリティを確保し、仮想マシンでの管理制御のセキュリティを向上させ、これにより、クラウドコンピューティングプラットフォームのセキュリティも向上させる。
特に、プロセッサに加えて、セキュリティ制御プラットフォームは、メモリと、通信インタフェースと、通信バスとを更に含み、プロセッサは、通信バスを使用することによりメモリに接続され、セキュリティ制御プラットフォームは、通信インタフェースを使用することにより他のネットワークエレメントと通信する。
更に、この実施例のセキュリティ制御プラットフォームは、全てのオペレーティングシステム又はアプリケーションをサポートし、クラウド内の複数のテナントの適用事例に当てはまり、仮想マシン間のデータ送信漏洩を効果的に制御することができる。
本発明の他の実施例は、仮想マシンのための管理制御システムを更に提供し、前述の図5〜図7のいずれか1つに示す実施例のセキュリティ制御プラットフォームを含む。セキュリティ制御プラットフォームの詳細な内容については、図5〜7のいずれか1つに示す実施例の関係する説明を参照し、詳細は再び説明しない。
便宜的及び簡潔な説明の目的で、前述のシステム、装置及びユニットの詳細な動作処理については、前述の方法の実施例の対応する処理に参照が行われてもよいことが、当業者により明確に分かる。詳細はここでは再び説明しない。
この出願で提供される複数の実施例では、開示のシステム、装置及び方法は、他の方式で実施されてもよいことが分かる。例えば、記載の装置の実施例は、単なる例である。例えば、ユニットの分割は、単に論理的な機能分割であり、実際の実現では他の分割でもよい。例えば、複数のユニット又はコンポーネントは結合されてもよく、他のシステムに統合されてもよく、いくつかの機能が無視されてもよく実行されなくてもよい。更に、表示又は説明した相互結合若しくは直接結合又は通信接続は、いくつかのインタフェースを通じて実現されてもよい。装置又はユニットの間の間接結合又は通信接続は、電気的、機械的又は他の形式で実現されてもよい。
別々のユニットとして記載したユニットは、物理的に別々でもよく別々でなくてもよい。ユニットとして表示された部分は、物理的なユニットでもよく物理的なユニットでなくてもよく、1つの位置に存在してもよく、複数のネットワークユニットに分散されてもよい。ユニットの一部又は全部は、実施例の対策の目的を実現するために、実際のニーズに従って選択されてもよい。
更に、本発明の実施例における機能ユニットは、1つの処理ユニットに統合されてもよく、ユニットのそれぞれが物理的に単独で存在してもよく、2つ以上のユニットが1つのユニットに統合されてもよい。統合されたユニットは、ハードウェアの形式で実現されてもよく、ソフトウェアの機能ユニットに加えてハードウェアの形式で実現されてもよい。
前述の統合されたユニットがソフトウェア機能ユニットの形式で実現される場合、統合されたユニットは、コンピュータ読み取り可能記憶媒体に記憶されてもよい。ソフトウェア機能ユニットは、記憶媒体に格納され、コンピュータデバイス(パーソナルコンピュータ、サーバ又はネットワークデバイスでもよい)に対して本発明の実施例に記載の方法のステップの一部又は全部を実行するように命令する複数の命令を含む。前述の記憶媒体は、USBフラッシュドライブ、取り外し可能ハードディスク、読み取り専用メモリ(Read-Only Memory、略してROM)、ランダムアクセスメモリ(Random Access Memory、略してRAM)、磁気ディスク又は光ディスクのようなプログラムコードを記憶し得るいずれかの媒体を含む。
最後に、前述の実施例は、本発明の技術的対策を単に意図するものであり、本発明を限定することを意図するものではない。前述の実施例を参照して本発明について詳細に説明したが、当業者は、本発明の実施例の技術的対策の要旨及び範囲を逸脱することなく、前述の記載の技術的対策に依然として変更を行うこと、そのいくつかの技術的特徴に等価置換を行うことができることが分かる。
管理プラットフォーム(Manage Domain)は、他の仮想マシンのマネージャ及びコントローラである。これは、特権を受けた仮想マシンであり、入力/出力リソースを動作させる特権を有し、物理的なハーウェアに直接アクセスすることができ、他のユーザの仮想マシン(Virtual Machine、VM)の管理を実現するために、管理システムの管理命令を受信して仮想マシンモニタにより提供されるアプリケーションプログラミングインタフェース(Application Programming Interface、API)と相互作用する役目をする。
本発明の任意選択の実現方式では、仮想マシンの使用可能が安全であり信頼できることを確保するために、前述の仮想マシン開始要求メッセージは、第3者の信頼を受けたプラットフォームの鍵である図2に示すkey 1のような、第3者の信頼を受けたプラットフォームの鍵を使用することにより暗号化されてもよい。第3者の信頼を受けたプラットフォームの鍵は、ユーザのために第3者の信頼を受けたプラットフォームにより提供された秘密ユニバーサルシリアルバス(Universal Serial Bus、USB)鍵又はスマートカードでもよい。許可されたユーザのみが、仮想マシン開始要求メッセージを暗号化するために秘密鍵を使用することができ、管理プラットフォームも他のユーザも鍵を使用することができない。
本発明の実現方式では、ユーザ装置は、セキュリティ制御プラットフォームで、許可されたユーザの命令に従って、ユーザの保護された仮想マシンのアクセス制御ポリシーテーブルを予め設定してもよい。表2は、本発明のこの実施例に適用されるアクセス制御ポリシーテーブルである。実際の用途では、複数の保護された仮想マシンのアクセス制御ポリシーテーブルがセキュリティ制御プラットフォームに存在する。表2に示すように、仮想マシンの識別子は、アクセス制御ポリシーテーブルの対応する仮想マシンのアクセス制御ポリシーテーブルのエントリを表すために使用される。例えば、アクセス制御ポリシーテーブルは、仮想マシン1及び仮想マシン2に対応するアクセス制御ポリシーテーブルのエントリを格納する。例えば、仮想マシン1へのアクセスが事前に許可されている他の仮想マシン3及び他の仮想マシン4の識別子、他の仮想マシン3にあるアプリケーションプログラム1の識別子及びアプリケーションプログラム2の識別子、並びに他の仮想マシン4にあるアプリケーションプログラム3の識別子及びアプリケーションプログラム4の識別子は、仮想マシン1に対応するアクセス制御ポリシーテーブルのエントリに追加される。
Figure 2016506107

Claims (30)

  1. 仮想マシンのための管理制御方法であって、
    セキュリティ制御プラットフォームにより、管理プラットフォームにより転送されたユーザ装置からの仮想マシン開始要求メッセージを受信するステップであり、前記仮想マシン開始要求メッセージは、使用可能になる必要がある仮想マシンの識別子及びユーザ情報を有するステップと、
    前記仮想マシン開始要求メッセージが許可されたユーザの命令に従って前記ユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出すステップと、
    前記ユーザ情報で認証を実行し、成功した認証に基づいて、使用可能になる必要がある前記仮想マシンをカプセル化解除するために、前記第3者の信頼を受けたプラットフォームを呼び出すステップと
    を有する管理制御方法。
  2. 前記仮想マシン開始要求メッセージが許可されたユーザの命令に従って前記ユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出すステップは、
    前記仮想マシン開始要求メッセージが前記許可されたユーザのために前記第3者の信頼を受けたプラットフォームにより提供された鍵を使用することにより暗号化されていることが決定された場合、前記仮想マシン開始要求メッセージが前記許可されたユーザの前記命令に従って前記ユーザ装置により開始されたことを決定し、前記仮想マシン開始要求メッセージを解読するために、前記許可されたユーザのために前記第3者の信頼を受けたプラットフォームにより提供された前記鍵を呼び出すステップを有する、請求項1に記載の方法。
  3. 前記仮想マシン開始要求メッセージが許可されたユーザの命令に従って前記ユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出すステップは、
    前記仮想マシン開始要求メッセージが前記第3者の信頼を受けたプラットフォームの公開鍵を使用することにより暗号化されていることが決定された場合、前記仮想マシン開始要求メッセージを解読するために、前記第3者の信頼を受けたプラットフォームの前記公開鍵を呼び出すステップと、
    前記仮想マシン開始要求メッセージのデジタル署名情報を取得し、前記取得されたデジタル署名情報が前記セキュリティ制御プラットフォームに事前に格納された前記許可されたユーザのデジタル署名情報に一致することが決定された場合、前記仮想マシン開始要求メッセージが前記許可されたユーザの前記命令に従って前記ユーザ装置により開始されたことを決定するステップと
    を有する、請求項1に記載の方法。
  4. 前記仮想マシン開始要求メッセージが許可されたユーザの命令に従って前記ユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出すステップは、
    前記セキュリティ制御プラットフォームにより、前記第3者の信頼を受けたプラットフォームの鍵を使用することにより暗号化されたデータを生成するために、前記第3者の信頼を受けたプラットフォームを呼び出すステップと、
    前記ユーザ装置が前記許可されたユーザのために前記第3者の信頼を受けたプラットフォームにより提供された秘密鍵を使用することにより前記暗号化されたデータを解読し、解読されたデータを前記セキュリティ制御プラットフォームに戻すため、前記管理プラットフォームを使用することにより、前記暗号化されたデータを前記ユーザ装置に送信するステップと、
    前記解読されたデータが前記暗号化されたデータと同じであることが決定された場合、前記仮想マシン開始要求メッセージが前記許可されたユーザの前記命令に従って前記ユーザ装置により開始されたことを決定するステップと
    を有する、請求項1に記載の方法。
  5. 使用可能になる必要がある前記仮想マシンをカプセル化解除するために、前記第3者の信頼を受けたプラットフォームを呼び出した後に、
    前記セキュリティ制御プラットフォームにより、前記仮想マシンでインテグリティチェックを実行するために、前記第3者の信頼を受けたプラットフォームを呼び出すステップと、
    インテグリティチェック値が前記セキュリティ制御プラットフォームに格納された前記仮想マシンのインテグリティチェック値に一致しない場合、前記仮想マシンの使用可能を制限するステップと、
    インテグリティチェック値が前記セキュリティ制御プラットフォームに格納された前記仮想マシンのインテグリティチェック値に一致する場合、前記仮想マシンを使用可能にするステップと
    を有する、請求項1ないし4のうちいずれか1項に記載の方法。
  6. 使用可能になる必要がある前記仮想マシンをカプセル化解除するために、前記第3者の信頼を受けたプラットフォームを呼び出した後に、
    前記セキュリティ制御プラットフォームにより、仮想マシンモニタを使用することにより、新たなアプリケーションプログラムが前記仮想マシンにインストールされたことを検出するステップと、
    前記新たなアプリケーションプログラムが前記許可されたユーザの命令に従って前記ユーザ装置によりインストールされたことを決定するステップと、
    前記仮想マシンでインテグリティチェックを実行するために、前記第3者の信頼を受けたプラットフォームを呼び出し、前記セキュリティ制御プラットフォームに格納された前記仮想マシンのインテグリティチェック値を更新するステップと
    を有する、請求項1ないし4のうちいずれか1項に記載の方法。
  7. 使用可能になる必要がある前記仮想マシンをカプセル化解除するために、前記第3者の信頼を受けたプラットフォームを呼び出した後に、
    前記セキュリティ制御プラットフォームにより、前記管理プラットフォームにより送信された仮想マシンインテグリティチェック要求メッセージを受信するステップであり、前記仮想マシンインテグリティチェック要求メッセージは、前記ユーザ装置により前記管理プラットフォームに送信され、前記仮想マシンインテグリティチェック要求メッセージは、インテグリティチェックを必要とする前記仮想マシンの識別子を有するステップと、
    前記仮想マシンでインテグリティチェックを実行するために、前記第3者の信頼を受けたプラットフォームを呼び出すステップと、
    インテグリティチェック値と前記セキュリティ制御プラットフォームに格納された前記仮想マシンのインテグリティチェック値とを比較するステップと、
    前記管理プラットフォームがインテグリティチェック値比較結果を前記ユーザ装置に送信するため、インテグリティチェック値比較結果を前記管理プラットフォームに送信するステップと
    を有する、請求項1ないし4のうちいずれか1項に記載の方法。
  8. 使用可能になる必要がある前記仮想マシンをカプセル化解除するために、前記第3者の信頼を受けたプラットフォームを呼び出した後に、
    前記セキュリティ制御プラットフォームにより、仮想マシンモニタを使用することにより、前記仮想マシン内の仮想記憶データについての1つ以上の他の仮想マシンのアクセス要求を検出し、前記アクセス要求を開始した前記1つ以上の他の仮想マシンの識別子とアプリケーションプログラムの識別子とを取得するステップと、
    前記仮想マシンのアクセス制御ポリシーテーブルのエントリが取得された前記1つ以上の他の仮想マシンの前記識別子と前記アプリケーションプログラムの前記識別子とを有することが決定された場合、前記仮想マシン内の前記仮想記憶データを解読するために、前記第3者の信頼を受けたプラットフォームを呼び出すステップと、
    解読された仮想記憶データを、前記アクセス要求を開始した前記1つ以上の他の仮想マシンに送信するステップと
    を有する、請求項1ないし4のうちいずれか1項に記載の方法。
  9. 前記仮想マシン開始要求メッセージは、使用可能になる必要がある前記仮想マシンのためのカプセル化鍵を更に有し、
    前記ユーザ情報で認証を実行した後に、成功した認証に基づいて、
    前記セキュリティ制御プラットフォームにより、使用可能になる必要がある前記仮想マシンのための、前記仮想マシン開始要求メッセージに含まれる前記カプセル化鍵を使用することにより、前記仮想マシンの前記識別子に対応する前記仮想マシンをカプセル化解除するステップを有する、請求項1に記載の方法。
  10. 前記セキュリティ制御プラットフォームは、信頼を受けたサービスドメイン(TSD)を有し、前記第3者の信頼を受けたプラットフォームは、信頼を受けたプラットフォームモジュール(TPM)と、信頼を受けた暗号化モジュール(TCM)とを有する、請求項1ないし9のうちいずれか1項に記載の方法。
  11. 管理プラットフォームにより転送されたユーザ装置からの仮想マシン開始要求メッセージを受信するように構成された受信モジュールであり、前記仮想マシン開始要求メッセージは、使用可能になる必要がある仮想マシンの識別子及びユーザ情報を有する受信モジュールと、
    前記受信モジュールがユーザ端末からの前記仮想マシン開始要求メッセージを受信したことに基づいて、前記仮想マシン開始要求メッセージが許可されたユーザの命令に従って前記ユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出すように構成された決定モジュールと、
    前記仮想マシン開始要求メッセージが前記許可されたユーザの前記命令に従って前記ユーザ装置により開始されたことを前記決定モジュールが決定したことに基づいて、前記ユーザ情報が成功して認証された後に、使用可能になる必要がある前記仮想マシンをカプセル化解除するために、前記第3者の信頼を受けたプラットフォームを呼び出すように構成されたカプセル化解除モジュールと
    を有するセキュリティ制御プラットフォーム。
  12. 前記決定モジュールは、前記許可されたユーザのために前記第3者の信頼を受けたプラットフォームにより提供された鍵を使用することにより暗号化されていることが決定された場合、前記仮想マシン開始要求メッセージが前記許可されたユーザの前記命令に従って前記ユーザ装置により開始されたことを決定し、前記仮想マシン開始要求メッセージを解読するために、前記許可されたユーザのために前記第3者の信頼を受けたプラットフォームにより提供された前記鍵を呼び出すように特に構成される、請求項11に記載のセキュリティ制御プラットフォーム。
  13. 前記決定モジュールは、前記仮想マシン開始要求メッセージが前記第3者の信頼を受けたプラットフォームの公開鍵を使用することにより暗号化されていることが決定された場合、前記仮想マシン開始要求メッセージを解読するために、前記第3者の信頼を受けたプラットフォームの前記公開鍵を呼び出し、前記仮想マシン開始要求メッセージのデジタル署名情報を取得し、前記取得されたデジタル署名情報が前記セキュリティ制御プラットフォームに事前に格納された前記許可されたユーザのデジタル署名情報に一致することが決定された場合、前記仮想マシン開始要求メッセージが前記許可されたユーザの前記命令に従って前記ユーザ装置により開始されたことを決定するように特に構成される、請求項11に記載のセキュリティ制御プラットフォーム。
  14. 前記決定モジュールは、前記第3者の信頼を受けたプラットフォームの鍵を使用することにより暗号化されたデータを生成するために、前記第3者の信頼を受けたプラットフォームを呼び出し、前記ユーザ装置が前記許可されたユーザのために前記第3者の信頼を受けたプラットフォームにより提供された秘密鍵を使用することにより前記暗号化されたデータを解読し、解読されたデータを前記セキュリティ制御プラットフォームに戻すため、前記管理プラットフォームを使用することにより、前記暗号化されたデータを前記ユーザ装置に送信し、前記解読されたデータが前記暗号化されたデータと同じであることが決定された場合、前記仮想マシン開始要求メッセージが前記許可されたユーザの前記命令に従って前記ユーザ装置により開始されたことを決定するように特に構成される、請求項11に記載のセキュリティ制御プラットフォーム。
  15. 前記仮想マシンでインテグリティチェックを実行するために、前記第3者の信頼を受けたプラットフォームを呼び出すように構成されたチェックモジュールと、
    前記チェックモジュールが前記仮想マシンでインテグリティチェックを実行したことに基づいて、インテグリティチェック値が前記セキュリティ制御プラットフォームに格納された前記仮想マシンのインテグリティチェック値に一致しない場合、前記仮想マシンの使用可能を制限するように構成された使用可能制限モジュールと、
    前記チェックモジュールが前記仮想マシンでインテグリティチェックを実行したことに基づいて、インテグリティチェック値が前記セキュリティ制御プラットフォームに格納された前記仮想マシンのインテグリティチェック値に一致する場合、前記仮想マシンを使用可能にするように構成された使用可能モジュールと
    を更に有する、請求項11ないし14のうちいずれか1項に記載のセキュリティ制御プラットフォーム。
  16. 仮想マシンモニタを使用することにより、新たなアプリケーションプログラムが前記仮想マシンにインストールされたことを検出するように構成された監視モジュールを更に有し、
    前記チェックモジュールは、前記新たなアプリケーションプログラムが前記仮想マシンにインストールされたことを前記監視モジュールが検出したことに基づいて、前記新たなアプリケーションプログラムが前記許可されたユーザの命令に従って前記ユーザ装置によりインストールされた場合、前記仮想マシンでインテグリティチェックを実行するために、前記第3者の信頼を受けたプラットフォームを呼び出し、前記セキュリティ制御プラットフォームに格納された前記仮想マシンのインテグリティチェック値を更新するように更に構成される、請求項11ないし14のうちいずれか1項に記載のセキュリティ制御プラットフォーム。
  17. 前記受信モジュールは、前記管理プラットフォームにより送信された仮想マシンインテグリティチェック要求メッセージを受信するように更に構成され、前記仮想マシンインテグリティチェック要求メッセージは、前記ユーザ装置により前記管理プラットフォームに送信され、前記仮想マシンインテグリティチェック要求メッセージは、インテグリティチェックを必要とする前記仮想マシンの識別子を有し、
    前記チェックモジュールは、前記受信モジュールにより受信された前記仮想マシンインテグリティチェック要求メッセージに基づいて、前記仮想マシンでインテグリティチェックを実行するために、前記第3者の信頼を受けたプラットフォームを呼び出すように更に構成され、
    前記セキュリティ制御プラットフォームは、
    前記チェックモジュールが前記仮想マシンでインテグリティチェックを実行したことに基づいて、インテグリティチェック値と前記セキュリティ制御プラットフォームに格納された前記仮想マシンのインテグリティチェック値とを比較し、前記管理プラットフォームがインテグリティチェック値比較結果を前記ユーザ装置に送信するため、インテグリティチェック値比較結果を前記管理プラットフォームに送信するように構成された比較モジュールを更に有する、請求項11ないし14のうちいずれか1項に記載のセキュリティ制御プラットフォーム。
  18. 前記監視モジュールは、仮想マシンモニタを使用することにより、前記仮想マシン内の仮想記憶データについての1つ以上の他の仮想マシンのアクセス要求を検出し、前記アクセス要求を開始した前記1つ以上の他の仮想マシンの識別子とアプリケーションプログラムの識別子とを取得するように更に構成され、
    前記カプセル化解除モジュールは、前記監視モジュールが前記仮想マシン内の前記仮想記憶データについての前記1つ以上の他の仮想マシンの前記アクセス要求を検出したことに基づいて、前記仮想マシンのアクセス制御ポリシーテーブルのエントリが取得された前記1つ以上の他の仮想マシンの前記識別子と前記アプリケーションプログラムの前記識別子とを有することが決定された場合、前記仮想マシン内の前記仮想記憶データを解読するために、前記第3者の信頼を受けたプラットフォームを呼び出し、解読された仮想記憶データを、前記アクセス要求を開始した前記1つ以上の他の仮想マシンに送信するように更に構成される、請求項11ないし14のうちいずれか1項に記載のセキュリティ制御プラットフォーム。
  19. 前記仮想マシン開始要求メッセージは、使用可能になる必要がある前記仮想マシンのためのカプセル化鍵を更に有し、
    前記カプセル化解除モジュールは、前記受信モジュールにより受信された前記仮想マシン開始要求メッセージに基づいて、使用可能になる必要がある前記仮想マシンのための、前記仮想マシン開始要求メッセージに含まれる前記カプセル化鍵を使用することにより、前記仮想マシンの前記識別子に対応する前記仮想マシンをカプセル化解除するように更に構成される、請求項11に記載のセキュリティ制御プラットフォーム。
  20. 前記セキュリティ制御プラットフォームは、信頼を受けたサービスドメイン(TSD)を有する、請求項11ないし19のうちいずれか1項に記載のセキュリティ制御プラットフォーム。
  21. 仮想マシンのための管理制御システムであって、
    請求項11ないし20のうちいずれか1項に記載のセキュリティ制御プラットフォームを有する管理制御システム。
  22. プロセッサを有するセキュリティ制御プラットフォームであって、
    前記プロセッサは、実行中に、
    管理プラットフォームにより転送されたユーザ装置からの仮想マシン開始要求メッセージを受信するステップであり、前記仮想マシン開始要求メッセージは、使用可能になる必要がある仮想マシンの識別子及びユーザ情報を有するステップと、
    前記仮想マシン開始要求メッセージが許可されたユーザの命令に従って前記ユーザ装置により開始されたことを決定するために、第3者の信頼を受けたプラットフォームを呼び出すステップと、
    前記ユーザ情報が成功して認証された後に、使用可能になる必要がある前記仮想マシンをカプセル化解除するために、前記第3者の信頼を受けたプラットフォームを呼び出すステップと
    を実行するセキュリティ制御プラットフォーム。
  23. 前記プロセッサは、
    前記仮想マシン開始要求メッセージが前記許可されたユーザのために前記第3者の信頼を受けたプラットフォームにより提供された鍵を使用することにより暗号化されていることが決定された場合、前記仮想マシン開始要求メッセージが前記許可されたユーザの前記命令に従って前記ユーザ装置により開始されたことを決定し、前記仮想マシン開始要求メッセージを解読するために、前記許可されたユーザのために前記第3者の信頼を受けたプラットフォームにより提供された前記鍵を呼び出すステップを更に実行する、請求項22に記載のセキュリティ制御プラットフォーム。
  24. 前記プロセッサは、
    前記仮想マシン開始要求メッセージが前記第3者の信頼を受けたプラットフォームの公開鍵を使用することにより暗号化されていることが決定された場合、前記仮想マシン開始要求メッセージを解読するために、前記第3者の信頼を受けたプラットフォームの前記公開鍵を呼び出すステップと、
    前記仮想マシン開始要求メッセージのデジタル署名情報を取得し、前記取得されたデジタル署名情報が前記セキュリティ制御プラットフォームに事前に格納された前記許可されたユーザのデジタル署名情報に一致することが決定された場合、前記仮想マシン開始要求メッセージが前記許可されたユーザの前記命令に従って前記ユーザ装置により開始されたことを決定するステップと
    を更に実行する、請求項22に記載のセキュリティ制御プラットフォーム。
  25. 前記プロセッサは、
    前記第3者の信頼を受けたプラットフォームの鍵を使用することにより暗号化されたデータを生成するために、前記第3者の信頼を受けたプラットフォームを呼び出すステップと、
    前記ユーザ装置が前記許可されたユーザのために前記第3者の信頼を受けたプラットフォームにより提供された秘密鍵を使用することにより前記暗号化されたデータを解読し、解読されたデータを前記セキュリティ制御プラットフォームに戻すため、前記管理プラットフォームを使用することにより、前記暗号化されたデータを前記ユーザ装置に送信するステップと、
    前記解読されたデータが前記暗号化されたデータと同じであることが決定された場合、前記仮想マシン開始要求メッセージが前記許可されたユーザの前記命令に従って前記ユーザ装置により開始されたことを決定するステップと
    を更に実行する、請求項22に記載のセキュリティ制御プラットフォーム。
  26. 前記プロセッサは、
    前記仮想マシンでインテグリティチェックを実行するために、前記第3者の信頼を受けたプラットフォームを呼び出すステップと、
    インテグリティチェック値が前記セキュリティ制御プラットフォームに格納された前記仮想マシンのインテグリティチェック値に一致しない場合、前記仮想マシンの使用可能を制限するステップ、又は
    インテグリティチェック値が前記セキュリティ制御プラットフォームに格納された前記仮想マシンのインテグリティチェック値に一致する場合、前記仮想マシンを使用可能にするステップと
    を更に実行する、請求項22ないし25のうちいずれか1項に記載のセキュリティ制御プラットフォーム。
  27. 前記プロセッサは、
    仮想マシンモニタを使用することにより、新たなアプリケーションプログラムが前記仮想マシンにインストールされたことを検出するステップと、
    前記新たなアプリケーションプログラムが前記許可されたユーザの命令に従って前記ユーザ装置によりインストールされたことが決定された場合、前記仮想マシンでインテグリティチェックを実行するために、前記第3者の信頼を受けたプラットフォームを呼び出し、前記セキュリティ制御プラットフォームに格納された前記仮想マシンのインテグリティチェック値を更新するステップと
    を更に実行する、請求項22ないし25のうちいずれか1項に記載のセキュリティ制御プラットフォーム。
  28. 前記プロセッサは、
    前記管理プラットフォームにより送信された仮想マシンインテグリティチェック要求メッセージを受信するステップであり、前記仮想マシンインテグリティチェック要求メッセージは、前記ユーザ装置により前記管理プラットフォームに送信され、前記仮想マシンインテグリティチェック要求メッセージは、インテグリティチェックを必要とする前記仮想マシンの識別子を有するステップと、
    前記仮想マシンでインテグリティチェックを実行するために、前記第3者の信頼を受けたプラットフォームを呼び出すステップと、
    インテグリティチェック値と前記セキュリティ制御プラットフォームに格納された前記仮想マシンのインテグリティチェック値とを比較するステップと、
    前記管理プラットフォームがインテグリティチェック値比較結果を前記ユーザ装置に送信するため、インテグリティチェック値比較結果を前記管理プラットフォームに送信するステップと
    を更に実行する、請求項22ないし25のうちいずれか1項に記載のセキュリティ制御プラットフォーム。
  29. 前記プロセッサは、
    仮想マシンモニタを使用することにより、前記仮想マシン内の仮想記憶データについての1つ以上の他の仮想マシンのアクセス要求を検出し、前記アクセス要求を開始した前記1つ以上の他の仮想マシンの識別子とアプリケーションプログラムの識別子とを取得するステップと、
    前記仮想マシンのアクセス制御ポリシーテーブルのエントリが取得された前記1つ以上の他の仮想マシンの前記識別子と前記アプリケーションプログラムの前記識別子とを有することが決定された場合、前記仮想マシン内の前記仮想記憶データを解読するために、前記第3者の信頼を受けたプラットフォームを呼び出すステップと、
    解読された仮想記憶データを、前記アクセス要求を開始した前記1つ以上の他の仮想マシンに送信するステップと
    を更に実行する、請求項22ないし25のうちいずれか1項に記載のセキュリティ制御プラットフォーム。
  30. 前記仮想マシン開始要求メッセージは、使用可能になる必要がある前記仮想マシンのためのカプセル化鍵を更に有し、
    前記プロセッサは、
    使用可能になる必要がある前記仮想マシンのための、前記仮想マシン開始要求メッセージに含まれる前記カプセル化鍵を使用することにより、前記仮想マシンの前記識別子に対応する前記仮想マシンをカプセル化解除するステップを更に実行する、請求項22に記載のセキュリティ制御プラットフォーム。
JP2015543228A 2012-11-22 2012-11-22 仮想マシンのための管理制御方法、装置及びシステム Active JP6114832B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2012/085008 WO2014079009A1 (zh) 2012-11-22 2012-11-22 虚拟机的管理控制方法及装置、系统

Publications (2)

Publication Number Publication Date
JP2016506107A true JP2016506107A (ja) 2016-02-25
JP6114832B2 JP6114832B2 (ja) 2017-04-12

Family

ID=50775392

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015543228A Active JP6114832B2 (ja) 2012-11-22 2012-11-22 仮想マシンのための管理制御方法、装置及びシステム

Country Status (6)

Country Link
US (1) US9698988B2 (ja)
EP (1) EP2913956B1 (ja)
JP (1) JP6114832B2 (ja)
CN (1) CN103843303B (ja)
ES (1) ES2619957T3 (ja)
WO (1) WO2014079009A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019525370A (ja) * 2016-07-29 2019-09-05 スパロー カンパニー リミテッド クラウド基盤のサービス提供方法
JP2019528005A (ja) * 2016-08-09 2019-10-03 華為技術有限公司Huawei Technologies Co.,Ltd. クラウドコンピューティングシステムにおいて仮想マシンが物理サーバにアクセスするための方法、装置、およびシステム

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2997692A1 (en) * 2013-05-13 2016-03-23 Telefonaktiebolaget LM Ericsson (publ) Procedure for platform enforced secure storage in infrastructure clouds
DE102014204417A1 (de) * 2014-03-11 2015-09-17 Siemens Aktiengesellschaft Vorrichtung und Verfahren zum Detektieren einer Manipulation an einem Programmcode
WO2015168913A1 (zh) 2014-05-08 2015-11-12 华为技术有限公司 一种证书获取方法和设备
CN105450406B (zh) * 2014-07-25 2018-10-02 华为技术有限公司 数据处理的方法和装置
KR102028197B1 (ko) * 2015-02-11 2019-10-04 한국전자통신연구원 하드웨어 보안 모듈, 상기 하드웨어 보안 모듈에 저장된 무결성 검증 값을 업데이트하는 방법, 상기 하드웨어 보안 모듈을 이용하여 단말에 저장된 프로그램을 업데이트하는 방법
CN104935583B (zh) * 2015-05-29 2018-09-25 四川长虹电器股份有限公司 一种云端服务平台、信息处理方法及数据处理系统
US10230529B2 (en) * 2015-07-31 2019-03-12 Microsft Technology Licensing, LLC Techniques to secure computation data in a computing environment
CN105208017B (zh) * 2015-09-07 2019-01-04 四川神琥科技有限公司 一种存储器信息获取方法
CN105184164B (zh) * 2015-09-08 2017-11-24 成都博元科技有限公司 一种数据处理方法
CN105306433B (zh) * 2015-09-10 2019-04-19 深信服科技股份有限公司 一种访问虚拟机服务器的方法和装置
US9917811B2 (en) 2015-10-09 2018-03-13 International Business Machines Corporation Security threat identification, isolation, and repairing in a network
CN106656915A (zh) * 2015-10-30 2017-05-10 深圳市中电智慧信息安全技术有限公司 基于可信计算的云安全服务器
US10027661B2 (en) * 2015-11-05 2018-07-17 International Business Machines Corporation Biometric virtual machine image administration
CN105450638A (zh) * 2015-11-10 2016-03-30 中国电子科技集团公司第三十研究所 一种虚拟机安全控制方法、管理方法及系统和管理系统
US10146936B1 (en) * 2015-11-12 2018-12-04 EMC IP Holding Company LLC Intrusion detection for storage resources provisioned to containers in multi-tenant environments
CN105389513B (zh) * 2015-11-26 2018-10-12 华为技术有限公司 一种虚拟可信平台模块vTPM的可信执行方法和装置
CN107133520B (zh) * 2016-02-26 2021-05-14 华为技术有限公司 云计算平台的可信度量方法和装置
US10412191B1 (en) 2016-03-30 2019-09-10 Amazon Technologies, Inc. Hardware validation
US10379894B1 (en) * 2016-09-27 2019-08-13 Amazon Technologies, Inc. Lineage-based trust for virtual machine images
CN107959567B (zh) * 2016-10-14 2021-07-27 阿里巴巴集团控股有限公司 数据存储方法、数据获取方法、装置及系统
CN106354550A (zh) * 2016-11-01 2017-01-25 广东浪潮大数据研究有限公司 一种保护虚拟机安全的方法、装置及系统
US10270692B1 (en) * 2016-11-10 2019-04-23 Juniper Networks, Inc. Establishing a connection to multiple network devices using a single internet protocol (IP) address
CN108268303A (zh) * 2017-01-03 2018-07-10 北京润信恒达科技有限公司 一种操作请求方法、装置及系统
CN110383277B (zh) * 2017-03-07 2021-09-14 华为技术有限公司 虚拟机监视器测量代理
US10567360B2 (en) * 2017-06-29 2020-02-18 Vmware, Inc. SSH key validation in a hyper-converged computing environment
CN108255723B (zh) * 2018-01-15 2021-05-04 中科软评科技(北京)有限公司 用于软件检测的方法和装置以及计算机可读存储介质
US11218324B2 (en) * 2018-04-05 2022-01-04 Ares Technologies, Inc. Systems and methods authenticating a digitally signed assertion using verified evaluators
US10320569B1 (en) * 2018-04-05 2019-06-11 HOTYB, Inc. Systems and methods for authenticating a digitally signed assertion using verified evaluators
US11824882B2 (en) * 2018-08-13 2023-11-21 Ares Technologies, Inc. Systems, devices, and methods for determining a confidence level associated with a device using heuristics of trust
US11695783B2 (en) * 2018-08-13 2023-07-04 Ares Technologies, Inc. Systems, devices, and methods for determining a confidence level associated with a device using heuristics of trust
US11379263B2 (en) 2018-08-13 2022-07-05 Ares Technologies, Inc. Systems, devices, and methods for selecting a distributed framework
US11316692B2 (en) 2018-08-13 2022-04-26 Ares Technologies, Inc. Systems, devices, and methods for selecting a distributed framework
US10826943B2 (en) 2018-08-21 2020-11-03 At&T Intellectual Property I, L.P. Security controller
US11240040B2 (en) * 2018-10-09 2022-02-01 Ares Technologies, Inc. Systems, devices, and methods for recording a digitally signed assertion using an authorization token
US11153098B2 (en) 2018-10-09 2021-10-19 Ares Technologies, Inc. Systems, devices, and methods for recording a digitally signed assertion using an authorization token
WO2020210362A1 (en) 2019-04-08 2020-10-15 Ares Technologies, Inc. Systems, devices, and methods for machine learning using a distributed framework
US11323425B2 (en) * 2019-09-18 2022-05-03 Lenovo Global Technology (United States) Inc. Systems and methods for selecting cryptographic settings based on computing device location
CN110659471A (zh) * 2019-09-23 2020-01-07 江苏恒宝智能系统技术有限公司 一种云环境中的身份认证登录方法
CN112073235B (zh) * 2020-09-03 2021-07-27 北京中关村软件园发展有限责任公司 一种虚拟机多功能互助系统
US11595212B2 (en) * 2020-10-13 2023-02-28 EMC IP Holding Company LLC Secure approval chain for runtime protection
CN112433822A (zh) * 2020-12-07 2021-03-02 北京远为软件有限公司 基于三权分立的跨域网络终端虚拟机的实现方法
US11526599B2 (en) * 2021-04-19 2022-12-13 International Business Machines Corporation Clustered application policy generation
CN113408007A (zh) * 2021-06-23 2021-09-17 航天科工智能运筹与信息安全研究院(武汉)有限公司 一种雾节点初始态可信度量的方法
CN114357434A (zh) * 2021-11-03 2022-04-15 统信软件技术有限公司 基于虚拟机的操作系统授权方法、装置、系统及计算设备
CN114629726A (zh) * 2022-04-26 2022-06-14 深信服科技股份有限公司 一种云管理方法、装置、设备、系统及可读存储介质
CN115964714B (zh) * 2022-06-22 2024-01-26 北京冲量在线科技有限公司 一种gpu可信执行环境系统
CN116501448B (zh) * 2023-06-21 2023-09-01 内江师范学院 一种应用于多虚拟机的容器封装方法及装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005208999A (ja) * 2004-01-23 2005-08-04 Ntt Data Corp 仮想マシン管理プログラム
WO2005096121A1 (ja) * 2004-04-02 2005-10-13 Matsushita Electric Industrial Co., Ltd. 実行装置
JP2008176506A (ja) * 2007-01-17 2008-07-31 Hitachi Ltd 情報処理装置、情報処理方法、および管理サーバ
WO2011141579A2 (en) * 2010-05-14 2011-11-17 Gemalto Sa System and method for providing security for cloud computing resources using portable security devices
US20110302415A1 (en) * 2010-06-02 2011-12-08 Vmware, Inc. Securing customer virtual machines in a multi-tenant cloud
JP2012198631A (ja) * 2011-03-18 2012-10-18 Ntt Data Corp 仮想マシン配置装置、仮想マシン配置方法、仮想マシン配置プログラム
WO2012148324A1 (en) * 2011-04-26 2012-11-01 Telefonaktiebolaget Lm Ericsson (Publ) Secure virtual machine provisioning
JP2013176038A (ja) * 2012-02-23 2013-09-05 Hon Hai Precision Industry Co Ltd 仮想マシン安全操作システム及びその方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2372593B (en) * 2001-02-23 2005-05-18 Hewlett Packard Co Electronic communication
GB2378272A (en) * 2001-07-31 2003-02-05 Hewlett Packard Co Method and apparatus for locking an application within a trusted environment
US7590867B2 (en) 2004-06-24 2009-09-15 Intel Corporation Method and apparatus for providing secure virtualization of a trusted platform module
US7529946B2 (en) * 2005-06-16 2009-05-05 Microsoft Corporation Enabling bits sealed to an enforceably-isolated environment
US8090919B2 (en) * 2007-12-31 2012-01-03 Intel Corporation System and method for high performance secure access to a trusted platform module on a hardware virtualization platform
US20080148061A1 (en) * 2006-12-19 2008-06-19 Hongxia Jin Method for effective tamper resistance
CN101188624B (zh) * 2007-12-07 2011-05-18 华中科技大学 基于虚拟机的网格中间件系统
CN101533434B (zh) * 2009-04-10 2012-05-30 武汉大学 面向敏感数据防泄漏的可信虚拟机远程验证方法
US8700893B2 (en) * 2009-10-28 2014-04-15 Microsoft Corporation Key certification in one round trip
US9081989B2 (en) * 2010-03-25 2015-07-14 Virtustream Canada Holdings, Inc. System and method for secure cloud computing
CN102202046B (zh) * 2011-03-15 2012-10-17 北京邮电大学 面向网络化操作系统的可信任虚拟运行平台
CN102291452B (zh) * 2011-08-09 2013-11-20 北京星网锐捷网络技术有限公司 基于云策略的虚拟机管理方法、云管理服务器及云系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005208999A (ja) * 2004-01-23 2005-08-04 Ntt Data Corp 仮想マシン管理プログラム
WO2005096121A1 (ja) * 2004-04-02 2005-10-13 Matsushita Electric Industrial Co., Ltd. 実行装置
JP2008176506A (ja) * 2007-01-17 2008-07-31 Hitachi Ltd 情報処理装置、情報処理方法、および管理サーバ
WO2011141579A2 (en) * 2010-05-14 2011-11-17 Gemalto Sa System and method for providing security for cloud computing resources using portable security devices
US20110302415A1 (en) * 2010-06-02 2011-12-08 Vmware, Inc. Securing customer virtual machines in a multi-tenant cloud
JP2012198631A (ja) * 2011-03-18 2012-10-18 Ntt Data Corp 仮想マシン配置装置、仮想マシン配置方法、仮想マシン配置プログラム
WO2012148324A1 (en) * 2011-04-26 2012-11-01 Telefonaktiebolaget Lm Ericsson (Publ) Secure virtual machine provisioning
JP2013176038A (ja) * 2012-02-23 2013-09-05 Hon Hai Precision Industry Co Ltd 仮想マシン安全操作システム及びその方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
畑陽一郎: "仮想化ソフトのセキュリティを高める米Intelの新技術「インテルTXT」の仕組み", 日経LINUX, vol. 第9巻,第2号, JPN6016023485, 8 February 2007 (2007-02-08), JP, pages 9 - 10, ISSN: 0003341901 *
西村崇: "クラウドセキュリティ 仮想化ソフトの制御でマシン同士を完全に分離", 日経SYSTEMS, vol. 第219号, JPN6016023486, 26 June 2011 (2011-06-26), JP, pages 60 - 65, ISSN: 0003341902 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019525370A (ja) * 2016-07-29 2019-09-05 スパロー カンパニー リミテッド クラウド基盤のサービス提供方法
US11157597B2 (en) 2016-07-29 2021-10-26 Fasoo Co., Ltd. Method for providing cloud-based service
US11636184B2 (en) 2016-07-29 2023-04-25 Sparrow Co., Ltd Method for providing cloud-based service
JP2019528005A (ja) * 2016-08-09 2019-10-03 華為技術有限公司Huawei Technologies Co.,Ltd. クラウドコンピューティングシステムにおいて仮想マシンが物理サーバにアクセスするための方法、装置、およびシステム
US10659471B2 (en) 2016-08-09 2020-05-19 Huawei Technologies Co., Ltd. Method for virtual machine to access physical server in cloud computing system, apparatus, and system
US11418512B2 (en) 2016-08-09 2022-08-16 Huawei Technologies Co., Ltd. Method for virtual machine to access physical server in cloud computing system, apparatus, and system

Also Published As

Publication number Publication date
EP2913956B1 (en) 2017-01-04
WO2014079009A1 (zh) 2014-05-30
US20150256341A1 (en) 2015-09-10
EP2913956A4 (en) 2015-11-04
EP2913956A1 (en) 2015-09-02
JP6114832B2 (ja) 2017-04-12
CN103843303A (zh) 2014-06-04
US9698988B2 (en) 2017-07-04
ES2619957T3 (es) 2017-06-27
CN103843303B (zh) 2017-03-29

Similar Documents

Publication Publication Date Title
JP6114832B2 (ja) 仮想マシンのための管理制御方法、装置及びシステム
US9819496B2 (en) Method and system for protecting root CA certificate in a virtualization environment
CN107820604B (zh) 具有联网设备的计算机驱动系统的半虚拟化安全威胁防护
CN107003866B (zh) 来自加密模板的加密虚拟机的安全创建
Santos et al. Towards Trusted Cloud Computing.
EP3326103B1 (en) Technologies for trusted i/o for multiple co-existing trusted execution environments under isa control
US9514300B2 (en) Systems and methods for enhanced security in wireless communication
EP2973171B1 (en) Context based switching to a secure operating system environment
US20140130128A1 (en) Method and system for improving storage security in a cloud computing environment
KR20030082485A (ko) 대칭 키 암호화에 기초한 데이터의 저장 및 검색
US11714895B2 (en) Secure runtime systems and methods
WO2015117523A1 (zh) 访问控制方法及装置
JP2016531528A (ja) プライバシー機密情報の交換を制御するための方法およびシステム
CN112765637A (zh) 数据处理方法、密码服务装置和电子设备
KR101107056B1 (ko) 클라우드 컴퓨팅 환경에서 가상 머신의 보안 정보 처리 방법
US10771249B2 (en) Apparatus and method for providing secure execution environment for mobile cloud
González et al. A practical hardware-assisted approach to customize trusted boot for mobile devices
TWI773146B (zh) 計算裝置及包含有用於經授權應用程式所作bios動作請求之指令的非暫時性有形電腦可讀媒體
KR20150089696A (ko) 접근제어와 우선순위기반 무결성 검증 시스템 및 그 방법
Hao et al. Trusted block as a service: Towards sensitive applications on the cloud
Akinbi et al. Evaluating security mechanisms implemented on public Platform-as-a-Service cloud environments case study: Windows Azure
Galanou et al. Matee: Multimodal attestation for trusted execution environments
Uppal Enabling trusted distributed control with remote attestation
Choi et al. Isolated mini-domain for trusted cloud computing
Sharma Onboard credentials: Hardware assisted secure storage of credentials

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160621

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160915

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170317

R150 Certificate of patent or registration of utility model

Ref document number: 6114832

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250